Microsoft опубликовала сентябрьский пакет обновлений безопасности (Patch Tuesday), устранив 81 уязвимость в продуктах компании. В набор вошли девять критических проблем, преимущественно связанных с удаленным выполнением кода (RCE), а также две уязвимости нулевого дня, сведения о которых стали публичными до выхода патчей. По данным Microsoft, признаков их активной эксплуатации не зафиксировано.
Ключевые 0‑day: SMB relay и Newtonsoft.Json в SQL Server
CVE-2025-55234: повышение привилегий через SMB relay
CVE-2025-55234 (CVSS 8.8) — уязвимость в Windows SMB Server, открывающая путь к атакам релэй (relay). В зависимости от конфигурации злоумышленник может перенаправлять аутентификацию и достигать повышения привилегий от имени жертвы. Microsoft подчеркивает, что включение SMB Server Signing и Extended Protection for Authentication (EPA) существенно снижает риск подобных атак.
Вместе с тем, производитель предупреждает о возможных проблемах совместимости со старыми клиентами и устройствами при включении этих механизмов. Рекомендовано выполнить аудит SMB-серверов, оценить готовность инфраструктуры и при необходимости поэтапно включать защитные опции, начиная с тестовых сегментов сети.
CVE-2024-21907: отказ в обслуживании через Newtonsoft.Json в составе SQL Server
CVE-2024-21907 (CVSS 7.5) затрагивает библиотеку Newtonsoft.Json, поставляемую вместе с некоторыми сборками Microsoft SQL Server. Передача специально подготовленных данных в метод JsonConvert.DeserializeObject способна вызвать исключение StackOverflow и привести к отказу в обслуживании без аутентификации в ряде сценариев. Проблема была раскрыта публично ранее и теперь закрыта в текущем цикле обновлений.
Критические исправления: Azure CVSS 10.0, HPC Pack RCE и NTLM
CVE-2025-54914: критический баг в сетевых службах Azure
Наивысшую оценку по шкале CVSS — 10.0 — получил дефект CVE-2025-54914, затрагивающий сетевые компоненты Azure и потенциально позволяющий повышение привилегий. Поскольку уязвимость относится к облачной плоскости, со стороны клиентов действий не требуется — исправления применяются сервисно на стороне Microsoft.
CVE-2025-55232: удаленное выполнение кода в Microsoft HPC Pack
CVE-2025-55232 (CVSS 9.8) — уязвимость RCE в Microsoft High Performance Compute (HPC) Pack. При успешной эксплуатации злоумышленник может выполнить произвольный код на узлах кластера. Microsoft рекомендует размещать кластеры HPC в доверенном сегменте сети, строго ограничивать внешнюю доступность и фильтровать TCP‑порт 5999 на пограничных устройствах и внутренних брандмауэрах.
CVE-2025-54918: повышение привилегий в Windows NTLM
CVE-2025-54918 (CVSS 8.8) затрагивает Windows NTLM и может позволить злоумышленнику повысить привилегии вплоть до уровня SYSTEM. Практические меры снижения риска включают ускоренное развертывание патчей, аудит политик аутентификации и, по возможности, усиление NTLM‑защиты или миграцию на протоколы с современными механизмами взаимной аутентификации.
Что важно знать ИТ-командам: оценка рисков и приоритезация
Приоритезируйте развёртывание обновлений, ориентируясь на CVSS‑оценки, степень экспонирования сервисов и влияние на критичные бизнес‑процессы. Сетевые сервисы, доступные из внешних сегментов (SMB, кластерные узлы HPC, компоненты SQL), должны обновляться в первоочередном порядке. Для SMB релэй‑рисков разумно комбинировать патчи с включением SMB Signing/EPA, предварительно протестировав совместимость со старыми клиентами.
Практические рекомендации по снижению атакующей поверхности
— Ускорьте установку сентябрьских патчей по всем затронутым продуктам Microsoft.
— Ограничьте доступ к админским и служебным портам, в том числе TCP‑5999 для HPC Pack, применяйте сегментацию и Zero Trust-подходы.
— Включайте SMB Server Signing и EPA, где это возможно, используя ступенчатое внедрение и мониторинг совместимости.
— Для SQL Server проверьте зависимость от Newtonsoft.Json и обновите проблемные компоненты.
— Усильте политики аутентификации и журналирование, чтобы быстрее обнаруживать попытки эскалации привилегий.
Сентябрьский релиз демонстрирует устойчивый тренд: атаки на механизмы аутентификации (SMB, NTLM) и высоконагруженные сервисы (HPC, облачные компоненты) остаются приоритетными векторами для злоумышленников. Быстрая установка обновлений в сочетании с базовой гигиеной безопасности — сегментацией сети, минимальными правами и строгими правилами доступа — существенно сокращает окно возможностей для атакующих.
