Microsoft опубликовала октябрьский пакет обновлений безопасности (Patch Tuesday), закрыв 173 уязвимости в продуктах компании. В бюллетене фигурируют шесть 0‑day, а часть изъянов уже используется в реальных атаках. По классификации Microsoft 0‑day — это либо публично раскрытые до выхода патча проблемы, либо уязвимости с подтверждённой эксплуатацией.
Ключевые уязвимости, уже используемые в атаках
CVE-2025-24990: повышение привилегий через драйвер модема Agere (ltmdm64.sys)
Уязвимость в драйвере модема Agere для Windows позволяла злоумышленникам получать права администратора. Microsoft сообщила об удалении проблемного драйвера ltmdm64.sys из системы, предупредив, что это приведёт к прекращению работы связанного оборудования. Важный нюанс: эксплуатация возможна даже без фактического использования модема, а затрагиваются все поддерживаемые версии Windows.
По сути, речь о типичном приёме BYOVD (bring your own vulnerable driver): атакующий загружает уязвимый драйвер для локального повышения привилегий. Такой подход активно применяют современные группы, так как он позволяет обойти защиту на уровне ядра. Практические меры: установить обновления, проверить инвентарь драйверов на наличие ltmdm64.sys и задокументировать последствия его удаления для совместимого оборудования.
CVE-2025-59230: привилегии уровня SYSTEM в Remote Access Connection Manager (RASMAN)
Ошибка контроля доступа в Windows Remote Access Connection Manager давала локальному аутентифицированному пользователю возможность повысить привилегии до уровня SYSTEM. Microsoft поясняет: «Некорректный контроль доступа в Windows Remote Access Connection Manager позволял авторизованному атакующему повысить привилегии локально».
Такое повышение привилегий облегчает перехват процессов, установку сервисов и закрепление в системе. Рекомендации: немедленное применение патчей; при отсутствии бизнес‑необходимости — ограничение запуска или отключение RASMAN, усиление принципа наименьших привилегий и мониторинг попыток несанкционированного доступа к службе.
CVE-2025-47827: обход Secure Boot в IGEL OS до версии 11
В IGEL OS до версии 11 можно было обойти Secure Boot из‑за некорректной проверки криптографической подписи модулем igel-flash-driver. В результате возможно монтирование подменённой корневой файловой системы из непроверенного образа SquashFS, что нарушает доверенную цепочку загрузки. Уязвимость публично описал на GitHub исследователь Зак Дидкотт (Zack Didcott).
Microsoft отразила обновление партнёра в Security Update Guide (SUG), который теперь поддерживает CVE, назначаемые индустриальными вендорами. Организациям, использующим тонкие клиенты на базе IGEL OS, следует обновиться до исправленной версии, провести проверку политик Secure Boot и убедиться, что загрузочные ключи и прошивки соответствуют требованиям доверенной загрузки.
Публично раскрытые 0‑day в SMB Server и Microsoft SQL Server
Отдельного внимания заслуживают ранее публично раскрытые уязвимости нулевого дня в Windows SMB Server и Microsoft SQL Server. Даже без детальной технической информации они представляют повышенный риск: в инфраструктуре SMB/SQL уязвимости часто используются для латерального перемещения, эскалации прав и компрометации критичных данных. Практика показывает, что такие баги быстро попадают в эксплуатационные фреймворки, поэтому приоритизация патчей по данным направлениям оправдана.
Windows 10: окончание бесплатной поддержки и варианты продления
14 октября 2025 года
