Грудневий «вівторок оновлень» Microsoft підсумував 2025 рік випуском патчів для 57 уразливостей у продуктах компанії. Серед них — три 0-day, одна з яких вже активно експлуатується і дозволяє зловмиснику отримати права SYSTEM у Windows. Оновлення торкаються клієнтських і серверних версій Windows, Microsoft Office, PowerShell та GitHub Copilot, що робить цей цикл патчів критично важливим для корпоративних середовищ.
Грудневий Patch Tuesday Microsoft 2025: основні загрози та 0-day
За класифікацією Microsoft до 0-day відносяться як уразливості з підтвердженою експлуатацією, так і ті, інформація про які стала публічною до виходу виправлення. У грудневий пакет увійшли три такі проблеми: експлуатована уразливість підвищення привілеїв у Windows, а також дві заздалегідь розкриті помилки, що впливають на GitHub Copilot for JetBrains та Windows PowerShell. Це ще раз підкреслює, наскільки важливими стають оперативне управління патчами та моніторинг публічних розкриттів у екосистемі Microsoft.
Критична уразливість Windows: підвищення привілеїв до SYSTEM (CVE-2025-62221)
Найбільш небезпечною проблемою грудневого Patch Tuesday є CVE-2025-62221 з оцінкою 7,8 за CVSS. Це уразливість типу use-after-free у драйвері Windows Cloud Files Mini Filter Driver. Аутентифікований локальний користувач може експлуатувати помилку для підвищення привілеїв до рівня SYSTEM, отримуючи фактично повний контроль над операційною системою.
Доступ до рівня SYSTEM дозволяє зловмиснику встановлювати бекдори, відключати засоби захисту, змінювати конфігурації безпеки та закріплюватися в інфраструктурі практично непомітно. Уразливість виявлена фахівцями Microsoft Threat Intelligence Center (MSTIC) та Microsoft Security Response Center (MSRC), а Microsoft підтверджує, що CVE-2025-62221 вже використовується в реальних атаках. Технічні деталі наразі свідомо не розкриваються, щоб ускладнити створення нових експлойтів.
У тому ж драйвері виправлено ще одну подібну уразливість — CVE-2025-62454 (CVSS 7,8), яка також дозволяє підвищувати привілеї. Хоча про її експлуатацію не повідомляється, подібні помилки в системних драйверах традиційно розглядаються дослідниками і зловмисниками як перспективна ціль для подальших атак.
GitHub Copilot і PowerShell: нові вектори атак у середовищі розробки
CVE-2025-64671 у GitHub Copilot for JetBrains: command injection через prompt-інʼєкцію
Уразливість CVE-2025-64671 пов’язана з command injection у плагіні GitHub Copilot for JetBrains. Проблема проявляється як prompt-інʼєкція: під час роботи з недовіреними файлами або MCP-серверами зловмисник може сформувати такий контент, який призведе до локального виконання коду в середовищі IDE.
Цю вразливість описав дослідник Арі Марзук (Ari Marzuk) у звіті «IDEsaster: A Novel Vulnerability Class in AI IDEs». Хоча підтверджених випадків експлуатації поки немає, ця історія показує, що інструменти ІІ для розробників стають повноцінним вектором атак: пропозиції від Copilot та інших асистентів потрібно розглядати як потенційно небезпечний код і перевіряти з не меншим скепсисом, ніж сторонні бібліотеки.
CVE-2025-54100 у PowerShell: небезпечне використання Invoke-WebRequest
Друга попередньо розкрита 0-day — CVE-2025-54100 — стосується Windows PowerShell і реалізується як інʼєкція команд. За певних умов вміст веб-сторінки, завантаженої через командлет Invoke-WebRequest, може інтерпретуватися як скрипт і бути виконаним локально. Microsoft пояснює, що проблема пов’язана з «некоректною нейтралізацією спеціальних елементів, які використовуються в командах», що дозволяє неавторизованому зловмиснику добитися виконання коду.
У відповідь Microsoft змінила стандартну поведінку PowerShell: при використанні Invoke-WebRequest тепер відображається попередження з рекомендацією явно вказувати прапорець -UseBasicParsing, щоб знизити ризик ненавмисного виконання шкідливого коду. Для адміністраторів і DevOps-команд це сигнал терміново переглянути скрипти автоматизації, CI/CD-пайплайни та інфраструктурні шаблони, де активно використовується Invoke-WebRequest.
Уразливості Microsoft Office: RCE через Preview Pane без кліку користувача
Окремий блок грудневого Patch Tuesday стосується Microsoft Office — виправлено 13 уразливостей, серед яких дві критичні: CVE-2025-62554 та CVE-2025-62557 з оцінкою 8,4 за CVSS. Ці помилки типу type confusion та use-after-free можуть призвести до віддаленого виконання довільного коду (RCE).
Особливу небезпеку становить те, що вектором атаки виступає панель попереднього перегляду (Preview Pane) в Office. За оцінкою Microsoft, у найгіршому сценарії достатньо доставки спеціально сформованого листа: користувачу не обов’язково відкривати вкладення чи натискати посилання — перегляд у Preview Pane вже може бути тригером експлуатації. Для організацій, що сильно залежать від електронної пошти та екосистеми Office, ці уразливості мають бути в найвищому пріоритеті патчування.
Тенденції 2025 року та практичні рекомендації для бізнесу
За 2025 рік Microsoft у своїх продуктах — другий рік поспіль, коли кількість патчів перевищує тисячу. Така динаміка відображає як зростання складності екосистеми, так і високу активність дослідників безпеки та зловмисників. Значна частина проблем, як і раніше, пов’язана з підвищенням привілеїв та віддаленим виконанням коду, що підкреслює важливість багаторівневого захисту і зрілих процесів патч-менеджменту.
Організаціям варто максимально швидко розгорнути грудневі оновлення, приділивши першочергову увагу: системам Windows, вразливим до CVE-2025-62221; середовищам розробки з GitHub Copilot; PowerShell-скриптам з Invoke-WebRequest; поштовій інфраструктурі та клієнтам Office, де може бути задіяний Preview Pane. Ключовими інструментами зниження ризиків залишаються централізоване управління оновленнями, повна інвентаризація програмного забезпечення, принцип найменших привілеїв, регулярний аудит конфігурацій та журналів безпеки. Чим швидше компанії вибудовують системний підхід до оновлень, тим складніше зловмисникам використовувати навіть 0-day вразливості з підтвердженою експлуатацією.
