Связаться с нами
Услуги О компании Pert Блог
MS Patch Tuesday

Анализ обновлений Microsoft Patch Tuesday – Декабрь 2025

Краткое Резюме

Во вторник, 09.12.2025, Microsoft выпустила ежемесячный патч безопасности, устраняющий 57 уязвимостей в своих продуктах.

По уровню опасности:

  • Remote Code Execution - 19;
  • Elevation of Privilege - 28;
  • Spoofing - 3;
  • Denial of Service - 3;
  • Information Disclosure - 4.

Эксплуатируемые (Zero-Days) и Публично Раскрытые Уязвимости

Особое внимание следует уделить на следующие 3 уязвимости. Их исправление является наивысшим приоритетом:

  • CVE-2025-54100 (CVSS 7.8; Remote Code Execution) - PowerShell Remote Code Execution Vulnerability (Remote Code Execution). Уязвимость внедрения команд (Command Injection) в Windows PowerShell, позволяющая выполнить произвольный код на целевой системе. Проблема кроется в механизме парсинга веб-контента командлетом Invoke-WebRequest (по умолчанию использующем движок Internet Explorer), который может непреднамеренно выполнить вредоносные скрипты, встроенные в загружаемую веб-страницу. Для успешной атаки требуется взаимодействие с пользователем.
  • CVE-2025-62221 (CVSS 7.8; Elevation of Privilege) - Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость типа Use-After-Free (использование после освобождения) в драйвере мини-фильтра облачных файлов Windows. Успешная эксплуатация позволяет локальному авторизованному злоумышленнику повысить свои привилегии до уровня SYSTEM.
  • CVE-2025-64671 (CVSS 8.4; Remote Code Execution) - GitHub Copilot for Jetbrains Remote Code Execution Vulnerability (Remote Code Execution). Уязвимость, позволяющая выполнить произвольный код на локальной машине жертвы. Проблема классифицируется как инъекция команд (Command Injection) и эксплуатируется через технику "Cross Prompt Injection". Злоумышленник может использовать ненадежные файлы или MCP-серверы для добавления вредоносных инструкций к командам, которые разрешены в настройках автоподтверждения терминала пользователя.

Общий обзор и тенденции

Декабрьский Patch Tuesday 2025 завершает год выпуском среднего объема: Microsoft устранила 57 уязвимостей. По количеству исправлений этот месяц сопоставим с ноябрем (63), однако уровень угрозы остается высоким из-за наличия активно эксплуатируемой уязвимости и публичных раскрытий. Ключевые тенденции этого месяца:

  • Центральным событием является наличие трех критически важных проблем. Уязвимость в драйвере Windows Cloud Files Mini Filter (CVE-2025-62221) уже эксплуатируется в дикой природе для повышения привилегий. Кроме того, публично раскрыты детали эксплуатации уязвимостей RCE в PowerShell и GitHub Copilot, что делает их привлекательными мишенями для злоумышленников в ближайшие дни.
  • Значительная часть обновлений (более 10 CVE) направлена на устранение уязвимостей удаленного выполнения кода (RCE) в продуктах Microsoft Office, Word, Excel, Outlook и Access. Это указывает на высокий риск атак через вредоносные документы и фишинговые рассылки, нацеленные на конечных пользователей.
  • Уязвимости в системных драйверах и файловых системах: Продолжается тенденция по укреплению ядра и драйверов. Исправлены уязвимости повышения привилегий в ReFS, Projected File System, Storage VSP и Cloud Files Mini Filter. Поскольку эти компоненты работают на низком уровне, ошибки в них часто используются для полного захвата контроля над системой после первоначального проникновения.
  • Безопасность инструментов разработки и ИИ: Вслед за предыдущими месяцами Microsoft снова исправляет уязвимости в инструментах для разработчиков. RCE в GitHub Copilot for Jetbrains (CVE-2025-64671) подчеркивает новый вектор атак через среды разработки (IDE) и расширения ИИ, которые имеют доступ к чувствительному коду и внутренней сети.

Полный Список Уязвимостей

Ниже представлена таблица со всеми уязвимостями, исправленными в этом месяце.

CVETitleTypeCVSSSeverityЭксплуатируетсяПублично Раскрыта
CVE-2025-64671GitHub Copilot for Jetbrains Remote Code Execution VulnerabilityRemote Code Execution8.4Remote Code ExecutionНетДа
CVE-2025-54100PowerShell Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетДа
CVE-2025-62221Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeДаНет
CVE-2025-62456Windows Resilient File System (ReFS) Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2025-62549Windows Routing and Remote Access Service (RRAS) Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2025-62550Azure Monitor Agent Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2025-64672Microsoft SharePoint Server Spoofing VulnerabilitySpoofing8.8SpoofingНетНет
CVE-2025-64678Windows Routing and Remote Access Service (RRAS) Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2025-62554Microsoft Office Remote Code Execution VulnerabilityRemote Code Execution8.4Remote Code ExecutionНетНет
CVE-2025-62557Microsoft Office Remote Code Execution VulnerabilityRemote Code Execution8.4Remote Code ExecutionНетНет
CVE-2025-55233Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-59516Windows Storage VSP Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-59517Windows Storage VSP Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62454Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62455Microsoft Message Queuing (MSMQ) Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62457Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62458Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62461Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62462Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62464Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62466Windows Client-Side Caching Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62467Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62470Windows Common Log File System Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62472Windows Remote Access Connection Manager Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62474Windows Remote Access Connection Manager Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62552Microsoft Access Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2025-62553Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2025-62556Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2025-62558Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2025-62559Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2025-62560Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2025-62561Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2025-62562Microsoft Outlook Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2025-62563Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2025-62564Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2025-62571Windows Installer Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-62572Application Information Service Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-64661Windows Shell Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-64673Windows Storage VSP Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-64679Windows DWM Core Library Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-64680Windows DWM Core Library Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2025-64658Windows File Explorer Elevation of Privilege VulnerabilityElevation of Privilege7.5Elevation of PrivilegeНетНет
CVE-2025-64666Microsoft Exchange Server Elevation of Privilege VulnerabilityElevation of Privilege7.5Elevation of PrivilegeНетНет
CVE-2025-62565Windows File Explorer Elevation of Privilege VulnerabilityElevation of Privilege7.3Elevation of PrivilegeНетНет
CVE-2025-62570Windows Camera Frame Server Monitor Information Disclosure VulnerabilityInformation Disclosure7.1Information DisclosureНетНет
CVE-2025-62469Microsoft Brokering File System Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2025-62555Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution7.0Remote Code ExecutionНетНет
CVE-2025-62569Microsoft Brokering File System Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2025-62573DirectX Graphics Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2025-62463DirectX Graphics Kernel Denial of Service VulnerabilityDenial of Service6.5Denial of ServiceНетНет
CVE-2025-62465DirectX Graphics Kernel Denial of Service VulnerabilityDenial of Service6.5Denial of ServiceНетНет
CVE-2025-62473Windows Routing and Remote Access Service (RRAS) Information Disclosure VulnerabilityInformation Disclosure6.5Information DisclosureНетНет
CVE-2025-64670Windows DirectX Information Disclosure VulnerabilityInformation Disclosure6.5Information DisclosureНетНет
CVE-2025-62567Windows Hyper-V Denial of Service VulnerabilityDenial of Service5.3Denial of ServiceНетНет
CVE-2025-64667Microsoft Exchange Server Spoofing VulnerabilitySpoofing5.3SpoofingНетНет
CVE-2025-62468Windows Defender Firewall Service Information Disclosure VulnerabilityInformation Disclosure4.4Information DisclosureНетНет
CVE-2025-62223Microsoft Edge (Chromium-based) for Mac Spoofing VulnerabilitySpoofing4.3SpoofingНетНет

Ретроспективный анализ уязвимостей

  • CVE-2025-54914 — Azure Networking Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость в сетевой инфраструктуре Azure, позволяющая создавать вредоносные маршруты в виртуальных сетях, что может привести к перехвату трафика и обходу средств защиты. Для данной уязвимости существует общедоступный эксплойт Azure Route Exploit с расширенным функционалом для автоматизации и скрытия атаки. Уязвимость была исправлена Microsoft на стороне облачной инфраструктуры в сентябре 2025 года.
  • CVE-2025-55241 — Azure Entra ID Elevation of Privilege Vulnerability (Elevation of Privilege). Критическая уязвимость, которая позволяла скомпрометировать практически любой тенант Entra ID в мире. Проблема заключалась в ошибке валидации в устаревшем Azure AD Graph API: он не проверял, что тенант-издатель специального "Actor token" (токен для межсервисного взаимодействия) совпадает с тенантом, к которому выполняется запрос. Это позволяло атакующему, используя токен из своего собственного тенанта, действовать от имени любого пользователя, включая Global Admin, в любом другом тенанте, обходя все политики безопасности, включая Conditional Access. Подробности раскрыты в статье исследователя под названием "One Token to rule them all". Уязвимость была исправлена на стороне Microsoft в сентябре 2025 года.
  • CVE-2025-59501 — Microsoft Configuration Manager Spoofing Vulnerability (Spoofing). Уязвимость обхода аутентификации, возникающая при интеграции с Microsoft Entra ID. Атакующий может изменить User Principal Name (UPN) облачной учетной записи, чтобы выдать себя за пользователя Active Directory, который не синхронизирован с облаком. Успешная эксплуатация позволяет получить несанкционированный доступ к API AdminService и повысить привилегии до полного администратора (Full Administrator) в иерархии SCCM. На GitHub доступен PoC, который автоматизирует получение токена и захват контроля над сервером. Уязвимость была исправлена в октябре 2025 года.
  • CVE-2025-60710 — Host Process for Windows Tasks Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость повышения привилегий, затрагивающая компонент Windows AI Recall (функция «Вспоминание»). Проблема кроется в логической ошибке (Link Following) при очистке каталогов планировщиком задач (taskhostw.exe). Опубликованный PoC демонстрирует использование недокументированного механизма WNF (Windows Notification Facility) для принудительного запуска задачи и эксплуатацию состояния гонки (Race Condition) с использованием OpLock. Это позволяет злоумышленнику перенаправить операцию удаления на произвольный системный файл и получить права SYSTEM. Уязвимость была исправлена в ноябре 2025 года.
  • CVE-2025-60719 — Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость в драйвере afd.sys, отвечающем за работу Winsock API, которая позволяет локальному злоумышленнику повысить свои привилегии до уровня SYSTEM. Проблема представляет собой классическое состояние гонки (Race Condition), приводящее к использованию освобожденной памяти (Use-After-Free), когда один поток запрашивает информацию о сокете (например, через AfdGetInformation), а другой одновременно закрывает его. Исследователи Akamai опубликовали подробный технический анализ с демонстрацией логики эксплуатации. Уязвимость была исправлена в ноябре 2025 года.

Вывод

Декабрьское обновление безопасности требует от ИТ-администраторов высокой бдительности, несмотря на умеренное общее количество патчей. Наличие активно эксплуатируемой уязвимости и проблем в повсеместно используемых инструментах (PowerShell, Office) создает серьезные риски. Приоритет должен быть отдан немедленной установке обновлений для следующих уязвимостей:

  • Активно эксплуатируемая CVE-2025-62221 (Windows Cloud Files Mini Filter, EoP), чтобы перекрыть злоумышленникам возможность повышения прав.
  • Публично раскрытые CVE-2025-54100 (PowerShell, RCE) и CVE-2025-64671 (GitHub Copilot, RCE), так как информация о методах их эксплуатации уже доступна широкой публике. Вторая очередь обновлений должна охватить рабочие станции пользователей с установленным пакетом Microsoft Office, чтобы минимизировать риски, связанные с открытием вредоносных файлов. Также не стоит забывать о серверах RRAS, которые остаются постоянной мишенью для RCE-атак. Настоятельно рекомендуется изучить раздел "Ретроспективный анализ уязвимостей". Появление публичных эксплойтов и детальных разборов для критических уязвимостей Azure, SCCM и Windows Recall, исправленных осенью, делает обновление инфраструктуры обязательным условием для защиты от атак, использующих уже известные векторы.
Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Ноябрь 2025 11 ноября
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Ноябрь 2025
Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Октябрь 2025 14 октября
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Октябрь 2025
Paranoid Security Как злоумышленники используют подписанные драйверы для захвата инфраструктуры. Разбор техники BYOVD. 10 октября
Vulnerability Research Как злоумышленники используют подписанные драйверы для захвата инфраструктуры. Разбор техники BYOVD.