Анализ обновлений Microsoft Patch Tuesday – Сентябрь 2025
Краткое Резюме
Во вторник, 09.09.2025, Microsoft выпустила ежемесячный патч безопасности, устраняющий 81 уязвимость в своих продуктах.
По уровню опасности:
- Important - 72;
- Moderate - 1;
- Critical - 8.
Эксплуатируемые (Zero-Days) и Публично Раскрытые Уязвимости
Особое внимание следует уделить на следующую уязвимость. Ее исправление является наивысшим приоритетом:
- CVE-2025-55234 (CVSS 8.8; Important) - Windows SMB Elevation of Privilege Vulnerability (Elevation of Privilege). Злоумышленник, успешно использовавший эту уязвимость, может получить права уровня SYSTEM. Для эксплуатации уязвимости злоумышленнику требуется доступ к целевой системе и возможность выполнять код с низкими привилегиями.
Общий обзор и тенденции
Сентябрьский Patch Tuesday 2025 от Microsoft включает исправления для 81 уязвимости, что является заметным снижением по сравнению с крупными летними обновлениями в августе (111) и июле (130). Несмотря на меньший объем, выпуск содержит ряд серьезных уязвимостей, требующих оперативного вмешательства. Ключевые тенденции, наблюдаемые в этом месяце:
- Публично раскрытая уязвимость в SMB: Главным событием этого месяца является исправление публично раскрытой уязвимости повышения привилегий CVE-2025-55234 в Windows SMB. Поскольку информация об этой уязвимости уже доступна злоумышленникам, ее эксплуатация становится высоковероятной. Это делает патч для SMB наивысшим приоритетом для всех администраторов.
- Преобладание уязвимостей повышения привилегий (EoP): Как и в предыдущие месяцы, уязвимости типа Elevation of Privilege составляют подавляющее большинство исправлений. В этом месяце они затрагивают критически важные компоненты, такие как ядро Windows, NTLM, SQL Server, Hyper-V и многочисленные системные службы, что указывает на системные усилия Microsoft по укреплению базовых механизмов безопасности ОС.
- Критические уязвимости в ключевых компонентах: В этом месяце исправлено 8 критических уязвимостей. Они затрагивают такие важные продукты, как NTLM, Microsoft Office, Hyper-V и графические компоненты Windows. Это подчеркивает, что даже при меньшем общем количестве уязвимостей, уровень риска остается высоким из-за потенциально серьезных последствий эксплуатации.
- Постоянное внимание к службе маршрутизации и удаленного доступа (RRAS): Служба RRAS снова попала в центр внимания, получив исправления для нескольких уязвимостей удаленного выполнения кода (RCE) и раскрытия информации. Это продолжает тенденцию последних месяцев, указывая на то, что данный компонент остается привлекательной целью для исследователей безопасности и злоумышленников.
Полный Список Уязвимостей
Ниже представлена таблица со всеми уязвимостями, исправленными в этом месяце.
| CVE | Title | Type | CVSS | Severity | Эксплуатируется | Публично Раскрыта |
|---|---|---|---|---|---|---|
| CVE-2025-55234 | Windows SMB Elevation of Privilege Vulnerability | Elevation of Privilege | 8.8 | Important | Нет | Да |
| CVE-2025-55232 | Microsoft High Performance Compute (HPC) Pack Remote Code Execution Vulnerability | Remote Code Execution | 9.8 | Important | Нет | Нет |
| CVE-2025-54106 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Remote Code Execution | 8.8 | Important | Нет | Нет |
| CVE-2025-54110 | Windows Kernel Elevation of Privilege Vulnerability | Elevation of Privilege | 8.8 | Important | Нет | Нет |
| CVE-2025-54113 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Remote Code Execution | 8.8 | Important | Нет | Нет |
| CVE-2025-54897 | Microsoft SharePoint Remote Code Execution Vulnerability | Remote Code Execution | 8.8 | Important | Нет | Нет |
| CVE-2025-54918 | Windows NTLM Elevation of Privilege Vulnerability | Elevation of Privilege | 8.8 | Critical | Нет | Нет |
| CVE-2025-55227 | Microsoft SQL Server Elevation of Privilege Vulnerability | Elevation of Privilege | 8.8 | Important | Нет | Нет |
| CVE-2025-54910 | Microsoft Office Remote Code Execution Vulnerability | Remote Code Execution | 8.4 | Critical | Нет | Нет |
| CVE-2025-49692 | Azure Connected Machine Agent Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-53800 | Windows Graphics Component Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Critical | Нет | Нет |
| CVE-2025-53801 | Microsoft DWM Core Library Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-54091 | Windows Hyper-V Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-54092 | Windows Hyper-V Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-54098 | Windows Hyper-V Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-54102 | Windows Connected Devices Platform Service Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-54111 | Windows UI XAML Phone DatePickerFlyout Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-54894 | Local Security Authority Subsystem Service Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-54895 | SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-54896 | Microsoft Excel Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-54898 | Microsoft Excel Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-54899 | Microsoft Excel Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-54900 | Microsoft Excel Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-54902 | Microsoft Excel Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-54903 | Microsoft Excel Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-54904 | Microsoft Excel Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-54906 | Microsoft Office Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-54907 | Microsoft Office Visio Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-54908 | Microsoft PowerPoint Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-54912 | Windows BitLocker Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-54913 | Windows UI XAML Maps MapControlSettings Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-54916 | Windows NTFS Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-55224 | Windows Hyper-V Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Critical | Нет | Нет |
| CVE-2025-55228 | Windows Graphics Component Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Critical | Нет | Нет |
| CVE-2025-55245 | Xbox Gaming Services Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-55316 | Azure Arc Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-55317 | Microsoft AutoUpdate (MAU) Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-53805 | HTTP.sys Denial of Service Vulnerability | Denial of Service | 7.5 | Important | Нет | Нет |
| CVE-2025-54919 | Windows Graphics Component Remote Code Execution Vulnerability | Remote Code Execution | 7.5 | Important | Нет | Нет |
| CVE-2025-55243 | Microsoft OfficePlus Spoofing Vulnerability | Spoofing | 7.5 | Important | Нет | Нет |
| CVE-2025-54103 | Windows Management Service Elevation of Privilege Vulnerability | Elevation of Privilege | 7.4 | Important | Нет | Нет |
| CVE-2025-54116 | Windows MultiPoint Services Elevation of Privilege Vulnerability | Elevation of Privilege | 7.3 | Important | Нет | Нет |
| CVE-2025-54911 | Windows BitLocker Elevation of Privilege Vulnerability | Elevation of Privilege | 7.3 | Important | Нет | Нет |
| CVE-2025-55236 | Graphics Kernel Remote Code Execution Vulnerability | Remote Code Execution | 7.3 | Critical | Нет | Нет |
| CVE-2025-54905 | Microsoft Word Information Disclosure Vulnerability | Information Disclosure | 7.1 | Important | Нет | Нет |
| CVE-2025-49734 | PowerShell Direct Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-53802 | Windows Bluetooth Service Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-53807 | Windows Graphics Component Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-54093 | Windows TCP/IP Driver Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-54099 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-54105 | Microsoft Brokering File System Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-54108 | Capability Access Management Service (camsvc) Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-54112 | Microsoft Virtual Hard Disk Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-54114 | Windows Connected Devices Platform Service (Cdpsvc) Denial of Service Vulnerability | Denial of Service | 7.0 | Important | Нет | Нет |
| CVE-2025-54115 | Windows Hyper-V Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-55223 | DirectX Graphics Kernel Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-53808 | Windows Defender Firewall Service Elevation of Privilege Vulnerability | Elevation of Privilege | 6.7 | Important | Нет | Нет |
| CVE-2025-53810 | Windows Defender Firewall Service Elevation of Privilege Vulnerability | Elevation of Privilege | 6.7 | Important | Нет | Нет |
| CVE-2025-54094 | Windows Defender Firewall Service Elevation of Privilege Vulnerability | Elevation of Privilege | 6.7 | Important | Нет | Нет |
| CVE-2025-54104 | Windows Defender Firewall Service Elevation of Privilege Vulnerability | Elevation of Privilege | 6.7 | Important | Нет | Нет |
| CVE-2025-54109 | Windows Defender Firewall Service Elevation of Privilege Vulnerability | Elevation of Privilege | 6.7 | Important | Нет | Нет |
| CVE-2025-54915 | Windows Defender Firewall Service Elevation of Privilege Vulnerability | Elevation of Privilege | 6.7 | Important | Нет | Нет |
| CVE-2025-55226 | Graphics Kernel Remote Code Execution Vulnerability | Remote Code Execution | 6.7 | Critical | Нет | Нет |
| CVE-2025-47997 | Microsoft SQL Server Information Disclosure Vulnerability | Information Disclosure | 6.5 | Important | Нет | Нет |
| CVE-2025-53796 | Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability | Information Disclosure | 6.5 | Important | Нет | Нет |
| CVE-2025-53797 | Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability | Information Disclosure | 6.5 | Important | Нет | Нет |
| CVE-2025-53798 | Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability | Information Disclosure | 6.5 | Important | Нет | Нет |
| CVE-2025-53806 | Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability | Information Disclosure | 6.5 | Important | Нет | Нет |
| CVE-2025-53809 | Local Security Authority Subsystem Service (LSASS) Denial of Service Vulnerability | Denial of Service | 6.5 | Important | Нет | Нет |
| CVE-2025-54095 | Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability | Information Disclosure | 6.5 | Important | Нет | Нет |
| CVE-2025-54096 | Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability | Information Disclosure | 6.5 | Important | Нет | Нет |
| CVE-2025-54097 | Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability | Information Disclosure | 6.5 | Important | Нет | Нет |
| CVE-2025-55225 | Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability | Information Disclosure | 6.5 | Important | Нет | Нет |
| CVE-2025-53799 | Windows Imaging Component Information Disclosure Vulnerability | Information Disclosure | 5.5 | Critical | Нет | Нет |
| CVE-2025-53803 | Windows Kernel Memory Information Disclosure Vulnerability | Information Disclosure | 5.5 | Important | Нет | Нет |
| CVE-2025-53804 | Windows Kernel-Mode Driver Information Disclosure Vulnerability | Information Disclosure | 5.5 | Important | Нет | Нет |
| CVE-2025-54901 | Microsoft Excel Information Disclosure Vulnerability | Information Disclosure | 5.5 | Important | Нет | Нет |
| CVE-2025-54101 | Windows SMB Client Remote Code Execution Vulnerability | Remote Code Execution | 4.8 | Important | Нет | Нет |
| CVE-2025-53791 | Microsoft Edge (Chromium-based) Security Feature Bypass Vulnerability | Security Feature Bypass | 4.7 | Moderate | Нет | Нет |
| CVE-2025-54107 | MapUrlToZone Security Feature Bypass Vulnerability | Security Feature Bypass | 4.3 | Important | Нет | Нет |
| CVE-2025-54917 | MapUrlToZone Security Feature Bypass Vulnerability | Security Feature Bypass | 4.3 | Important | Нет | Нет |
Ретроспективный анализ уязвимостей
- CVE-2025-27480 — Windows Remote Desktop Services Remote Code Execution Vulnerability (Remote Code Execution). Эта уязвимость представляет собой классическое переполнение буфера стека. Злоумышленник может отправить специально созданный HTTP GET-запрос, длина которого превышает 256 байт, что приводит к переполнению буфера на сервере. Это позволяет выполнить произвольный код на целевой машине без необходимости аутентификации или взаимодействия с пользователем, что может привести к получению удаленного доступа (reverse shell). Уязвимость была исправлена в апреле 2025 года.
- CVE-2025-32713 — Windows Common Log File System Driver Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость в драйвере файловой системы CLFS, позволяющая локальному злоумышленнику повысить свои привилегии. Проблема связана с некорректной обработкой метаданных в BLF-файлах (Base Log File), что приводит к повреждению памяти ядра. Злоумышленник может создать специальный CLFS-файл, эксплуатация которого приводит к выполнению кода с привилегиями уровня SYSTEM. Уязвимость была исправлена в июне 2025 года.
- CVE-2025-47987 — Credential Security Support Provider Protocol (CredSSP) Elevation of Privilege Vulnerability (Elevation of Privilege). Эта уязвимость представляет собой целочисленное переполнение, приводящее к переполнению буфера на основе кучи в tspkg.dll (Terminal Services Security Package). Проблема возникает в функции TSCreateKerbCertLogonBuffer при обработке данных аутентификации, в частности, данных сертификата. Злоумышленник может создать специальный запрос аутентификации с очень большим значением длины сертификата. При вычислении общего размера буфера происходит целочисленное переполнение, в результате чего выделяется буфер гораздо меньшего размера, чем требуется. Последующая операция копирования данных сертификата в этот некорректно малый буфер приводит к переполнению кучи, что вызывает сбой процесса lsass.exe и отказ в обслуживании. Уязвимость была исправлена в июле 2025 года.
- CVE-2025-49667 — Windows Win32 Kernel Subsystem Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость в подсистеме ядра Win32, которая позволяет локальному пользователю повысить свои привилегии до уровня SYSTEM. Эксплойт вызывает уязвимый системный вызов, который принудительно дважды освобождает объект в памяти ядра, после чего злоумышленник может перезаписать указатель на функцию ядра и выполнить свой код. На GitHub доступен PoC, демонстрирующий данный механизм. Уязвимость была исправлена в июле 2025 года.
- CVE-2025-50154 — Microsoft Windows File Explorer Spoofing Vulnerability (Spoofing). Уязвимость в Проводнике Windows, которая позволяет без участия пользователя (zero-click) раскрыть NTLMv2-SSP хеш-суммы пароля. Это обход предыдущего исправления безопасности. Создав специальный файл-ярлык (.LNK), который указывает на исполняемый файл на удаленном SMB-сервере, злоумышленник заставляет explorer.exe автоматически попытаться извлечь иконку из удаленного файла, что приводит к отправке NTLM-хеша на сервер злоумышленника. Уязвимость была исправлена в августе 2025 года.
- CVE-2025-53773 — GitHub Copilot and Visual Studio Remote Code Execution Vulnerability (Remote Code Execution). Уязвимость внедрения команд (prompt injection) в GitHub Copilot в среде VS Code, которая приводит к удаленному выполнению кода. Злоумышленник может внедрить в исходный код или другие файлы инструкцию, которая изменяет файл конфигурации проекта (.vscode/settings.json), включая "YOLO-режим", который отключает все запросы на подтверждение действий от пользователя. Это позволяет Copilot выполнять команды оболочки и другие опасные действия без ведома разработчика.. Уязвимость была исправлена в августе 2025 года.
Вывод
Сентябрьское обновление безопасности 2025 года, хоть и менее масштабное, чем предыдущие, является критически важным выпуском из-за наличия публично раскрытой уязвимости и восьми критических исправлений. ИТ-администраторам необходимо действовать оперативно и стратегически. Приоритет должен быть отдан немедленной установке обновлений для следующих уязвимостей:
- Публично раскрытая CVE-2025-55234 (Windows SMB, EoP), чтобы предотвратить ее неминуемую эксплуатацию.
- Все 8 критических уязвимостей, в особенности затрагивающие NTLM (CVE-2025-54918), Microsoft Office (CVE-2025-54910), Hyper-V (CVE-2025-55224) и графические компоненты, так как они могут привести к полному контролю над системой.
Рекомендуется также приоритизировать обновление серверов с ролями RRAS, SQL Server и SharePoint, учитывая их критическую роль в корпоративной инфраструктуре. Своевременное применение патчей остается ключевым элементом защиты. Промедление с установкой обновлений, особенно для публично раскрытых уязвимостей, создает недопустимый уровень риска для безопасности организации.
