Анализ обновлений Microsoft Patch Tuesday – Ноябрь 2025
Краткое Резюме
Во вторник, 11.11.2025, Microsoft выпустила ежемесячный патч безопасности, устраняющий 63 уязвимости в своих продуктах.
По уровню опасности:
- Critical - 4;
- Important - 59.
Эксплуатируемые (Zero-Days) и Публично Раскрытые Уязвимости
Особое внимание следует уделить на следующую уязвимость. Ее исправление является наивысшим приоритетом:
- CVE-2025-62215 (CVSS 7.0; Important) - Windows Kernel Elevation of Privilege Vulnerability (Elevation of Privilege).Уязвимость в сервере SMB (CWE-287), которая позволяет удаленному неаутентифицированному злоумышленнику выполнять атаки типа "NTLM Relay". Для эксплуатации атакующему необходимо вынудить пользователя или компьютер в целевой сети инициировать подключение к контролируемому злоумышленником SMB-серверу. Атакующий может перехватить и ретранслировать аутентификационные данные на другой сервер, получая возможность выполнять действия от имени скомпрометированного пользователя. В случае успеха это может привести к повышению привилегий до уровня SYSTEM, если учетная запись жертвы обладает соответствующими правами. Уязвимость актуальна для систем, где не включены обязательное подписывание SMB (SMB Signing) и расширенная защита аутентификации (EPA).
Общий обзор и тенденции
Ноябрьский Patch Tuesday 2025 можно охарактеризовать как относительное затишье после масштабного октябрьского обновления. Microsoft устранила 63 уязвимости, что является значительным снижением по сравнению со 175 в прошлом месяце. Несмотря на меньший объем, выпуск содержит ряд серьезных угроз, требующих оперативного вмешательства. Ключевые тенденции, наблюдаемые в этом месяце:
- Активно эксплуатируемая уязвимость NTLM Relay: Главным событием месяца является исправление уязвимости CVE-2025-62215, которая уже активно используется злоумышленниками для проведения атак NTLM Relay. Хотя уязвимость имеет рейтинг "Important", ее активная эксплуатация делает ее устранение наивысшим приоритетом. Особенно уязвимы сети, где не включены обязательное подписывание SMB и расширенная защита аутентификации (EPA).
- Сохранение доминирования уязвимостей повышения привилегий (EoP): Как и в предыдущие месяцы, уязвимости типа Elevation of Privilege составляют значительную часть исправлений. В этом месяце они затрагивают такие ключевые компоненты, как ядро Windows, Common Log File System (CLFS), драйверы и различные системные службы, что подчеркивает постоянную необходимость укрепления внутренних механизмов защиты ОС.
- Уязвимости в инструментах для разработчиков и ИИ: В этом месяце вновь уделено внимание безопасности современных инструментов. Уязвимость удаленного выполнения кода CVE-2025-62222 в Agentic AI и Visual Studio Code, а также уязвимости обхода функций безопасности в CoPilot, указывают на смещение вектора атак в сторону сред разработки, которые становятся все более привлекательной целью.
- Возвращение старых знакомых: Служба маршрутизации и удаленного доступа (RRAS) снова попала в список исправлений с несколькими уязвимостями, включая RCE. Это, наряду с многочисленными исправлениями для Microsoft Office и Excel, подтверждает, что эти компоненты остаются постоянными источниками риска и требуют регулярного внимания со стороны администраторов.
Полный Список Уязвимостей
Ниже представлена таблица со всеми уязвимостями, исправленными в этом месяце.
| CVE | Title | Type | CVSS | Severity | Эксплуатируется | Публично Раскрыта |
|---|---|---|---|---|---|---|
| CVE-2025-62215 | Windows Kernel Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Да | Нет |
| CVE-2025-60724 | GDI+ Remote Code Execution Vulnerability | Remote Code Execution | 9.8 | Important | Нет | Нет |
| CVE-2025-59499 | Microsoft SQL Server Elevation of Privilege Vulnerability | Elevation of Privilege | 8.8 | Important | Нет | Нет |
| CVE-2025-62220 | Windows Subsystem for Linux GUI Remote Code Execution Vulnerability | Remote Code Execution | 8.8 | Important | Нет | Нет |
| CVE-2025-62222 | Agentic AI and Visual Studio Code Remote Code Execution Vulnerability | Remote Code Execution | 8.8 | Important | Нет | Нет |
| CVE-2025-62210 | Dynamics 365 Field Service (online) Spoofing Vulnerability | Spoofing | 8.7 | Important | Нет | Нет |
| CVE-2025-62211 | Dynamics 365 Field Service (online) Spoofing Vulnerability | Spoofing | 8.7 | Important | Нет | Нет |
| CVE-2025-30398 | Nuance PowerScribe 360 Information Disclosure Vulnerability | Information Disclosure | 8.1 | Critical | Нет | Нет |
| CVE-2025-60715 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Remote Code Execution | 8.0 | Important | Нет | Нет |
| CVE-2025-62204 | Microsoft SharePoint Remote Code Execution Vulnerability | Remote Code Execution | 8.0 | Important | Нет | Нет |
| CVE-2025-62452 | Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability | Remote Code Execution | 8.0 | Important | Нет | Нет |
| CVE-2025-59505 | Windows Smart Card Reader Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-59511 | Windows WLAN Service Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-59512 | Customer Experience Improvement Program (CEIP) Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-59514 | Microsoft Streaming Service Proxy Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-60703 | Windows Remote Desktop Services Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-60705 | Windows Client-Side Caching Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-60707 | Multimedia Class Scheduler Service (MMCSS) Driver Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-60709 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-60710 | Host Process for Windows Tasks Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-60713 | Windows Routing and Remote Access Service (RRAS) Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-60714 | Windows OLE Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-60718 | Windows Administrator Protection Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-60720 | Windows Transport Driver Interface (TDI) Translation Driver Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-60721 | Windows Administrator Protection Elevation of Privilege Vulnerability | Elevation of Privilege | 7.8 | Important | Нет | Нет |
| CVE-2025-60727 | Microsoft Excel Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-62199 | Microsoft Office Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Critical | Нет | Нет |
| CVE-2025-62200 | Microsoft Excel Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-62201 | Microsoft Excel Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-62203 | Microsoft Excel Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-62205 | Microsoft Office Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-62216 | Microsoft Office Remote Code Execution Vulnerability | Remote Code Execution | 7.8 | Important | Нет | Нет |
| CVE-2025-60704 | Windows Kerberos Elevation of Privilege Vulnerability | Elevation of Privilege | 7.5 | Important | Нет | Нет |
| CVE-2025-59504 | Azure Monitor Agent Remote Code Execution Vulnerability | Remote Code Execution | 7.3 | Important | Нет | Нет |
| CVE-2025-60726 | Microsoft Excel Information Disclosure Vulnerability | Information Disclosure | 7.1 | Important | Нет | Нет |
| CVE-2025-62202 | Microsoft Excel Information Disclosure Vulnerability | Information Disclosure | 7.1 | Important | Нет | Нет |
| CVE-2025-59506 | DirectX Graphics Kernel Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-59507 | Windows Speech Runtime Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-59508 | Windows Speech Recognition Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-59515 | Windows Broadcast DVR User Service Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-60716 | DirectX Graphics Kernel Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Critical | Нет | Нет |
| CVE-2025-60717 | Windows Broadcast DVR User Service Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-60719 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-62213 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-62217 | Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-62218 | Microsoft Wireless Provisioning System Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-62219 | Microsoft Wireless Provisioning System Elevation of Privilege Vulnerability | Elevation of Privilege | 7.0 | Important | Нет | Нет |
| CVE-2025-62449 | Microsoft Visual Studio Code CoPilot Chat Extension Security Feature Bypass Vulnerability | Security Feature Bypass | 6.8 | Important | Нет | Нет |
| CVE-2025-47179 | Configuration Manager Elevation of Privilege Vulnerability | Elevation of Privilege | 6.7 | Important | Нет | Нет |
| CVE-2025-62214 | Visual Studio Remote Code Execution Vulnerability | Remote Code Execution | 6.7 | Critical | Нет | Нет |
| CVE-2025-60708 | Storvsp.sys Driver Denial of Service Vulnerability | Denial of Service | 6.5 | Important | Нет | Нет |
| CVE-2025-60722 | Microsoft OneDrive for Android Elevation of Privilege Vulnerability | Elevation of Privilege | 6.5 | Important | Нет | Нет |
| CVE-2025-62206 | Microsoft Dynamics 365 (On-Premises) Information Disclosure Vulnerability | Information Disclosure | 6.5 | Important | Нет | Нет |
| CVE-2025-60723 | DirectX Graphics Kernel Denial of Service Vulnerability | Denial of Service | 6.3 | Important | Нет | Нет |
| CVE-2025-59240 | Microsoft Excel Information Disclosure Vulnerability | Information Disclosure | 5.5 | Important | Нет | Нет |
| CVE-2025-59509 | Windows Speech Recognition Information Disclosure Vulnerability | Information Disclosure | 5.5 | Important | Нет | Нет |
| CVE-2025-59510 | Windows Routing and Remote Access Service (RRAS) Denial of Service Vulnerability | Denial of Service | 5.5 | Important | Нет | Нет |
| CVE-2025-59513 | Windows Bluetooth RFCOM Protocol Driver Information Disclosure Vulnerability | Information Disclosure | 5.5 | Important | Нет | Нет |
| CVE-2025-60706 | Windows Hyper-V Information Disclosure Vulnerability | Information Disclosure | 5.5 | Important | Нет | Нет |
| CVE-2025-62208 | Windows License Manager Information Disclosure Vulnerability | Information Disclosure | 5.5 | Important | Нет | Нет |
| CVE-2025-62209 | Windows License Manager Information Disclosure Vulnerability | Information Disclosure | 5.5 | Important | Нет | Нет |
| CVE-2025-62453 | GitHub Copilot and Visual Studio Code Security Feature Bypass Vulnerability | Security Feature Bypass | 5.0 | Important | Нет | Нет |
| CVE-2025-60728 | Microsoft Excel Information Disclosure Vulnerability | Information Disclosure | 4.3 | Important | Нет | Нет |
Ретроспективный анализ уязвимостей
- CVE-2025-53766 - GDI+ Remote Code Execution Vulnerability (Remote Code Execution). Уязвимость представляет собой переполнение буфера в куче в библиотеке GDI+ (gdiplus.dll), которая возникает при обработке специально созданного метафайла внутри изображения или документа. Проблема заключается в некорректном вычислении смещения в памяти в функции EpScanBitmap::NextBuffer, что приводит к записи данных за пределы выделенного буфера. Подробный технический анализ и сравнение уязвимой и исправленной версий библиотеки доступен на GitHub. Уязвимость была исправлена в августе 2025 года.
- CVE-2025-50168 - Win32k Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость "Type Confusion" (использование несовместимого типа) в компоненте ядра DirectComposition, которая приводит к переполнению буфера в куче и позволяет локальному пользователю повысить свои привилегии до уровня SYSTEM. Для данной уязвимости существует общедоступный эксплойт, представленный на конкурсе Pwn2Own Berlin 2025. Уязвимость была исправлена в августе 2025 года.
- CVE-2025-54110 - Windows Kernel Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость в ядре Windows, вызванная целочисленным переполнением (Integer Overflow) при выделении памяти. Локальный пользователь с низкими правами может отправить специально созданные данные, что приводит к некорректному выделению буфера и позволяет выполнить произвольный код с привилегиями уровня SYSTEM. На GitHub доступна лаборатория с общедоступным PoC, демонстрирующий эксплуатацию. Уязвимость была исправлена в сентябре 2025 года.
- CVE-2025-54897 - Microsoft SharePoint Remote Code Execution Vulnerability (Remote Code Execution). Уязвимость, вызванная некорректной десериализацией недоверенных данных (CWE-502), позволяющая аутентифицированному злоумышленнику, даже с низкими привилегиями, выполнить произвольный код на сервере. Для демонстрации уязвимости на GitHub опубликован подробный Lab/PoC, содержащий готовый эксплойт для проведения атаки. Уязвимость была исправлена в сентябре 2025 года.
- CVE-2025-54918 - Windows NTLM Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость в протоколе NTLM, позволяющая провести атаку с отражением аутентификации (NTLM reflection) для повышения привилегий. На GitHub был обнаружен PoC для данной уязвимости. Для эксплуатации используется комбинация из двух техник: сначала с помощью эксплойта "Printer Bug" (реализованного в скрипте printerbugnew.py через RPC-over-TCP) целевую систему, например, контроллер домена Windows Server 2025, заставляют аутентифицироваться на машине атакующего. Затем эта аутентификация отражается на критически важную службу, например, LDAPS, на самой целевой системе. Уязвимость заключается в том, что этот метод позволяет обойти защитные механизмы, такие как LDAP Channel Binding, что приводит к получению прав уровня SYSTEM. Уязвимость была исправлена в сентябре 2025 года.
- CVE-2025-55315 - ASP.NET Security Feature Bypass Vulnerability (Security Feature Bypass). Критическая уязвимость HTTP Request Smuggling в веб-сервере ASP.NET Core Kestrel с оценкой CVSS 9.9. Она позволяет злоумышленнику "спрятать" второй запрос внутри первого и обойти средства защиты (например, прокси), украсть сессии пользователей или выполнить SSRF-атаки. Технический механизм, основанный на разной интерпретации сервером заголовка чанка с одиночным символом новой строки (\n) вместо стандартного (\r\n), подробно описан в статье. На GitHub доступен публичный эксплойт CVE-2025-55315-PoC-Exploit. Уязвимость была исправлена в октябре 2025 года.
- CVE-2025-59287 - Windows Server Update Service (WSUS) Remote Code Execution Vulnerability (Remote Code Execution). Уязвимость связана с небезопасной десериализацией данных. Удаленный неаутентифицированный злоумышленник может отправить на веб-сервис WSUS специально сформированный запрос, содержащий вредоносный объект, зашифрованный с помощью известного статического ключа. Сервер расшифровывает и десериализует этот объект, что приводит к выполнению произвольного кода с правами SYSTEM. Tехнический разбор и PoC для данной уязвимости были опубликованы исследователем hawktrace. Уязвимость была исправлена в октябре 2025 года.
- CVE-2025-59214 - Microsoft Windows File Explorer Spoofing Vulnerability (Spoofing). Уязвимость в Проводнике Windows, являющаяся обходом исправления для CVE-2025-50154, позволяет раскрыть NTLMv2-SSP хеш пароля пользователя без непосредственного взаимодействия с файлом (zero-click). Атака осуществляется с помощью специально созданного файла-ярлыка (.LNK), который указывает на исполняемый файл на удаленном SMB-сервере. Когда Проводник пытается отобразить иконку такого ярлыка, он автоматически подключается к удаленному ресурсу, что инициирует отправку NTLM-хеша на сервер злоумышленника. PoC и подробное описание опубликованы на GitHub. Уязвимость была исправлена в октябре 2025 года.
Вывод
Ноябрьское обновление безопасности 2025 года, хоть и менее масштабное, чем предыдущее, является критически важным из-за наличия активно эксплуатируемой уязвимости. Администраторам следует избегать ложного чувства безопасности из-за меньшего количества исправлений и действовать оперативно. Приоритет должен быть отдан немедленной установке обновлений для следующих уязвимостей:
- Активно эксплуатируемая CVE-2025-62215 (Windows Kernel, EoP), чтобы предотвратить атаки NTLM Relay и несанкционированное повышение привилегий в сети.
- Все 4 критические уязвимости, затрагивающие Microsoft Office (CVE-2025-62199), Nuance PowerScribe (CVE-2025-30398), DirectX (CVE-2025-60716) и Visual Studio (CVE-2025-62214), так как они могут привести к выполнению произвольного кода или раскрытию конфиденциальной информации.
Рекомендуется также уделить внимание серверам с ролями RRAS и SharePoint, а также рабочим станциям разработчиков, использующим Visual Studio Code и ИИ-ассистенты.
Наконец, крайне важно обратить внимание на раздел "Ретроспективный анализ уязвимостей". Публикация PoC-эксплойтов для уязвимостей, исправленных в предыдущие месяцы, многократно повышает риск их эксплуатации. Если вы еще не установили обновления за август, сентябрь и октябрь, сейчас самое время это сделать, чтобы закрыть ставшие общеизвестными векторы атак.
