Специалисты Microsoft выпустили экстренное обновление безопасности для платформы Power Pages, устраняющее критическую уязвимость повышения привилегий (CVE-2025-24989). Эксперты оценили серьезность угрозы в 8,2 балла по шкале CVSS, а особую опасность представляет тот факт, что злоумышленники уже активно эксплуатировали данную уязвимость как zero-day.
Технические детали уязвимости
Обнаруженный недостаток связан с некорректной реализацией механизмов контроля доступа в Microsoft Power Pages. Злоумышленники могли использовать эту брешь для обхода стандартных процедур аутентификации и несанкционированного повышения привилегий в системе. Учитывая облачную природу сервиса, атаки могли проводиться удаленно, что существенно расширяло потенциальную поверхность атаки.
Меры реагирования и рекомендации по безопасности
Microsoft оперативно устранила уязвимость на серверной стороне и начала рассылку уведомлений затронутым клиентам. Администраторам систем настоятельно рекомендуется провести следующие проверки:
Ключевые шаги по аудиту безопасности:
— Анализ журналов активности на предмет подозрительных действий
— Проверка истории регистрации новых пользователей
— Аудит несанкционированных изменений в системе
— Тщательный пересмотр списков пользователей с повышенными привилегиями
Дополнительные обновления безопасности
Параллельно с исправлением Power Pages, Microsoft также устранила серьезную уязвимость в поисковой системе Bing (CVE-2025-21355, CVSS 8,6). Данный недостаток мог позволить злоумышленникам осуществлять удаленное выполнение кода, однако случаев его эксплуатации в реальных атаках пока не зафиксировано.
Текущая ситуация подчеркивает критическую важность своевременного обновления корпоративных систем и проведения регулярных аудитов безопасности. Организациям, использующим Microsoft Power Pages, рекомендуется незамедлительно проверить свои системы на признаки компрометации и внедрить дополнительные меры мониторинга безопасности для предотвращения подобных инцидентов в будущем.
