Компания Microsoft выпустила масштабное январское обновление безопасности, устранившее более 160 различных уязвимостей в своих продуктах. По данным аналитиков Trend Micro Zero Day Initiative, это обновление стало самым крупным с 2017 года, превысив обычное количество январских патчей более чем в два раза.
Критические уязвимости нулевого дня под активной эксплуатацией
Особую озабоченность вызывают три уязвимости нулевого дня (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335), которые уже активно эксплуатируются злоумышленниками. Все они имеют оценку 7,8 баллов по шкале CVSS и затрагивают компонент Windows Hyper-V NT Kernel Integration VSP. Уязвимости позволяют повысить привилегии до уровня SYSTEM на устройствах под управлением Windows 10, 11 и серверных версий 2022 и 2025. Факт активной эксплуатации означает, что злоумышленники применяли эти векторы в реальных атаках ещё до выхода патчей.
Дополнительные уязвимости нулевого дня
Помимо активно эксплуатируемых багов, были устранены ещё пять уязвимостей нулевого дня, включая проблему повышения привилегий в Windows App Package Installer (CVE-2025-21275) и уязвимость спуфинга в Windows Themes (CVE-2025-21308). Особого внимания заслуживают три RCE-уязвимости в Microsoft Access (CVE-2025-21186, CVE-2025-21366, CVE-2025-21395), обнаруженные с помощью AI-платформы Unpatched.ai.
Наиболее опасные уязвимости общего характера
Среди критических проблем выделяется уязвимость CVE-2025-21311 в системе аутентификации NTLMv1 с максимальным рейтингом 9,8 баллов по CVSS. Также особую угрозу представляют RCE-уязвимости в Windows OLE (CVE-2025-21298) и компоненте Windows Pragmatic General Multicast (CVE-2025-21307), позволяющие удаленное выполнение кода без взаимодействия с пользователем.
Кто находится под наибольшим риском
Январское обновление критически важно для следующих категорий пользователей и организаций:
- Системные администраторы Windows Server 2022 и 2025, использующие Hyper-V — три CVE в Hyper-V VSP уже эксплуатируются в реальных атаках
- Организации с унаследованной инфраструктурой NTLMv1 — CVE-2025-21311 с CVSS 9,8 представляет критическую угрозу для сетей без обязательного Kerberos
- Пользователи Microsoft Access в корпоративных средах, открывающие файлы из внешних источников
- Все организации с Windows 10 и Windows 11, где уязвимости повышения привилегий в Windows App Package Installer могут использоваться для горизонтального перемещения атакующих
Рекомендации по защите
Для минимизации рисков необходимо принять следующие меры:
- Незамедлительно установить январский Patch Tuesday через Windows Update или WSUS — особенно на системах с Hyper-V
- Для CVE-2025-21308 (Windows Themes) отключить NTLM или активировать политику «Restrict NTLM: Outgoing NTLM traffic to remote servers»
- Заблокировать на периметре открытие файлов Microsoft Access форматов accdb, accde, accdw, accdt, accda, accdr и accdu из недоверенных источников
- Провести инвентаризацию систем с NTLMv1 и запланировать миграцию на Kerberos или NTLMv2
- Настроить оповещения SIEM на попытки эксплуатации Hyper-V VSP для раннего обнаружения атак
Данный выпуск обновлений безопасности демонстрирует растущую сложность угроз и подчёркивает важность своевременного патч-менеджмента. Организациям следует уделить особое внимание тестированию и внедрению этих патчей, учитывая наличие активно эксплуатируемых уязвимостей нулевого дня.
