Декабрьский «вторник обновлений» Microsoft завершил 2025 год выпуском патчей для 57 уязвимостей в продуктах компании. Три из них отнесены к категории уязвимостей нулевого дня (0-day), при этом одна проблема уже активно эксплуатируется в атаках и позволяет получить права уровня SYSTEM в Windows. Обновление затрагивает как клиентские, так и серверные продукты, а также Office, PowerShell и GitHub Copilot.
Декабрьский «вторник обновлений» Microsoft: фокус на 0-day
По методологии Microsoft к 0-day относятся не только уязвимости с подтвержденной эксплуатацией, но и те, информация о которых стала публичной до выхода исправления. В декабрьский пакет вошли три такие проблемы: эксплуатируемая уязвимость повышения привилегий в Windows, а также две уязвимости, заранее раскрытые исследователями и затрагивающие GitHub Copilot for JetBrains и Windows PowerShell. Это подчеркивает растущую важность оперативного управления патчами и мониторинга публичных раскрытий в экосистеме Microsoft.
Критическая уязвимость в Windows: повышение привилегий до SYSTEM
Наиболее значимой проблемой стала CVE-2025-62221 (оценка 7,8 по CVSS) — уязвимость типа use-after-free в драйвере Windows Cloud Files Mini Filter Driver. Эксплуатировать ее может уже аутентифицированный атакующий, получив локальное повышение привилегий до уровня SYSTEM. Это дает злоумышленнику полнофункциональный контроль над системой, включая установку бэкдоров, отключение защитных механизмов и закрепление в инфраструктуре.
Уязвимость была выявлена специалистами Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC). Компания подтверждает, что CVE-2025-62221 уже используется в реальных атаках, но на момент выхода обновлений не раскрывает технических деталей, чтобы усложнить реверс-инжиниринг эксплойта. В том же драйвере устранена еще одна похожая проблема — CVE-2025-62454 (CVSS 7,8), также позволяющая повышать привилегии и рассматриваемая как перспективная цель для будущих атак.
GitHub Copilot и PowerShell: локальное выполнение кода через инъекцию команд
CVE-2025-64671: инъекция команд в GitHub Copilot for JetBrains
Уязвимость CVE-2025-64671 связана с command injection в GitHub Copilot for JetBrains. По сути, речь идет о возможности локального выполнения кода через prompt-инъекцию при работе с недоверенными файлами или MCP-серверами. Проблему обнаружил исследователь Ари Марзук (Ari Marzuk) и подробно описал в отчете «IDEsaster: A Novel Vulnerability Class in AI IDEs». Хотя подтвержденной эксплуатации пока нет, уязвимость демонстрирует, насколько инструменты ИИ-разработки становятся новым вектором атак на среду разработки.
CVE-2025-54100: опасное использование Invoke-WebRequest в PowerShell
Вторая заранее раскрытая 0-day — CVE-2025-54100 — представляет собой инъекцию команд в Windows PowerShell. Уязвимость может привести к выполнению скриптов, встроенных в веб-страницу, когда пользователь загружает ее с помощью команды Invoke-WebRequest. Как поясняет Microsoft, проблема связана с «некорректной нейтрализацией специальных элементов, используемых в командах», что позволяет неавторизованному атакующему добиться локального выполнения кода.
В ответ Microsoft изменила поведение PowerShell: при использовании Invoke-WebRequest теперь отображается предупреждение с рекомендацией явным образом указывать флаг -UseBasicParsing, чтобы минимизировать риск непреднамеренного исполнения кода. Для администраторов и DevOps-команд это повод провести ревизию скриптов автоматизации, CI/CD-пайплайнов и инфраструктурных шаблонов, где активно применяется Invoke-WebRequest.
Уязвимости Microsoft Office: удаленное выполнение кода через Preview Pane
Помимо 0-day, декабрьский пакет закрывает 13 уязвимостей в Microsoft Office, включая две критические — CVE-2025-62554 и CVE-2025-62557 (CVSS 8,4). Они относятся к типам type confusion и use-after-free и ведут к удаленному выполнению произвольного кода (RCE). Атакующий может использовать социальную инженерию, рассылая специально подготовленные ссылки или письма, при этом вектором атаки выступает Preview Pane в Office.
По оценке Microsoft, в худшем сценарии достаточно доставки вредоносного письма: его не нужно открывать или кликать по ссылке, чтобы запустить потенциальную эксплуатацию. Факт того, что панель предварительного просмотра может служить триггером RCE, делает эти уязвимости приоритетными для устранения в корпоративных средах с высокой зависимостью от электронной почты и экосистемы Office.
Тренды 2025 года и рекомендации по кибербезопасности
Всего за 2025 год Microsoft закрыла около 1200 уязвимостей в своих продуктах — это уже второй год подряд, когда количество исправленных проблем превышает тысячу. Такая динамика отражает как рост сложности экосистемы, так и активность исследовательского сообщества и злоумышленников. Значимая часть уязвимостей традиционно связана с повышением привилегий и удаленным выполнением кода, что подтверждает необходимость многоуровневой защиты и жесткого контроля обновлений.
Организациям рекомендуется в кратчайшие сроки развернуть декабрьские патчи, уделив первоочередное внимание системам Windows с уязвимостью CVE-2025-62221, инфраструктуре разработки с использованием GitHub Copilot, а также PowerShell-скриптам и почтовым серверам с плотной интеграцией Office. Практики централизованного управления патчами, инвентаризации ПО, принципа наименьших привилегий и регулярного аудита конфигураций остаются ключевыми инструментами снижения рисков. Чем быстрее компании выстраивают системный подход к обновлениям безопасности, тем сложнее злоумышленникам использовать даже 0-day уязвимости с подтвержденной эксплуатацией.
