Microsoft выпустила ноябрьский пакет обновлений безопасности, устранив 63 уязвимости в экосистеме Windows и связанных компонентах. Среди исправлений — активно эксплуатируемая 0‑day‑уязвимость CVE-2025-62215 в ядре Windows, четыре критических дефекта и десятки проблем высокой важности. Набор исправлений затрагивает как локальную эскалацию привилегий, так и удаленное выполнение кода, утечки данных и другие классы атак.
Ключевые исправления и приоритеты обновления
0‑day CVE‑2025‑62215: race condition в ядре и эскалация до SYSTEM
Уязвимость CVE-2025-62215 получила оценку 7,0 по CVSS и уже используется в целевых атаках. По данным Microsoft Threat Intelligence Center (MSTIC) и Security Response Center (MSRC), баг представляет собой состояние гонки в ядре Windows. Атакующему требуется начальный доступ с низкими привилегиями; дальше он пытается «выиграть» гонку потоков при обращении к общему ресурсу ядра. Это приводит к double free — двойному освобождению памяти и повреждению хипа ядра. Успешная эксплуатация позволяет перезаписать критические структуры и получить права SYSTEM.
Хотя вендор не раскрывает детали кампаний, характер уязвимости указывает на использование ее на стадии постэксплуатации: первичный доступ часто обеспечивается фишингом, социальной инженерией или вторичной уязвимостью, после чего злоумышленники повышают привилегии для закрепления и расширения доступа.
Критические RCE: графический стек и WSLg
Microsoft также закрыла два серьезных переполнения буфера хипа, ведущих к удаленному выполнению кода: CVE-2025-60724 (CVSS 9,8) в графическом компоненте и CVE-2025-62220 (CVSS 8,8) в Windows Subsystem for Linux GUI (WSLg). В обоих случаях успешная эксплуатация может позволить запуск произвольного кода с правами текущего пользователя, что повышает риск для рабочих станций, где активно используются графические приложения и окружения WSLg.
Windows Kerberos: CheckSum (CVE‑2025‑60704)
Отдельного внимания заслуживает CVE-2025-60704 (CVSS 7,5), получившая кодовое имя CheckSum от Silverfort. Уязвимость связана с отсутствием необходимого криптографического шага в протоколе Kerberos, что открывает путь для атак типа Man-in-the-Middle и подмены личности пользователя. Для корпоративных доменов это особенно критично: компрометация аутентификации в Kerberos может быстро эскалировать до компрометации доменных ресурсов.
Статистика релиза Patch Tuesday
Из 63 уязвимостей 4 классифицированы как критические, еще 59 — как важные. Структура релиза подчеркивает смещение фокуса атак на постэксплуатационную активность: 29 уязвимостей относятся к повышению привилегий, 16 — к удаленному выполнению кода, 11 — к утечке информации. Остальные исправления касаются DoS, обхода механизмов безопасности и спуфинга.
ESU для Windows 10 и внеплановый патч
В этом месяце Microsoft выпустила первый пакет расширенных обновлений безопасности (ESU) для Windows 10 после завершения стандартной поддержки. Ряд пользователей столкнулись с ошибками при регистрации в программе ESU, однако на этой неделе вышло внеплановое обновление, устраняющее проблему и восстанавливающее доступ к каналу расширенной поддержки.
Рекомендации по снижению рисков
Администраторам рекомендуется в первую очередь разворачивать патчи для CVE-2025-62215, CVE-2025-60724, CVE-2025-62220 и CVE-2025-60704, начиная с систем с повышенной экспозицией (рабочие станции разработчиков, терминальные серверы, VDI и хосты с активным использованием графических приложений/WSLg). Параллельно стоит усилить мониторинг попыток эскалации привилегий и аномалий Kerberos, а также проверить, что средства EDR и политики контроля приложений корректно применяются после обновлений.
Ноябрьский пакет Microsoft отражает устойчивый тренд: злоумышленники комбинируют первичный доступ с последующей эскалацией и lateral movement. Своевременная установка обновлений, приоритизация узлов повышенного риска и контроль аномалий аутентификации — ключевые меры для снижения вероятности компрометации. Организациям следует оперативно планировать окно обслуживания, протестировать совместимость и внедрить патчи как можно скорее.
