Microsoft оприлюднила вересневий пакет оновлень безпеки, який закриває 81 уразливість у продуктовій лінійці компанії. У переліку — дев’ять критичних дефектів (переважно RCE) і два 0‑day, деталі яких стали публічними до виходу патчів. За даними MSRC, ознаки активної експлуатації не зафіксовані, однак вікно ризику традиційно високе для сервісів, що доступні ззовні.
Головні 0‑day: SMB relay та Newtonsoft.Json у складі SQL Server
CVE-2025-55234: підвищення привілеїв через SMB relay
CVE-2025-55234 (CVSS 8.8) у Windows SMB Server відкриває шлях до атак типу relay, коли зловмисник перехоплює та переспрямовує автентифікацію, здобуваючи підвищення привілеїв від імені жертви. Значно зменшують ризик SMB Server Signing і Extended Protection for Authentication (EPA). Водночас можливі суміснісні обмеження зі старими клієнтами; рекомендується поетапне ввімкнення в тестових і низькоризикових сегментах із постійним моніторингом.
CVE-2024-21907: відмова в обслуговуванні через Newtonsoft.Json у SQL Server
CVE-2024-21907 (CVSS 7.5) стосується бібліотеки Newtonsoft.Json, що постачається з окремими збірками Microsoft SQL Server. Спеціально сформовані дані до JsonConvert.DeserializeObject можуть спричинити переповнення стеку (StackOverflow) і DoS без автентифікації в певних сценаріях. Проблема була розкрита публічно раніше; нині доставлено офіційне виправлення.
Критичні виправлення: Azure CVSS 10.0, RCE в HPC Pack і привілеї в NTLM
CVE-2025-54914: критичний дефект у мережевих службах Azure
CVE-2025-54914 отримала CVSS 10.0 і зачіпає мережеві компоненти Azure, потенційно дозволяючи підвищення привілеїв. Оскільки це уразливість у площині хмарної платформи, дій від клієнтів не потрібно — виправлення застосовуються на стороні Microsoft.
CVE-2025-55232: віддалене виконання коду в Microsoft HPC Pack
CVE-2025-55232 (CVSS 9.8) — RCE у Microsoft High Performance Compute (HPC) Pack, що дозволяє виконання довільного коду на вузлах кластера. Практична мінімізація ризиків: розміщувати кластери в довірених сегментах, обмежити зовнішній доступ і фільтрувати TCP‑порт 5999 на межових і внутрішніх брандмауерах.
CVE-2025-54918: підвищення привілеїв у Windows NTLM
CVE-2025-54918 (CVSS 8.8) уразливлює Windows NTLM і може призвести до ескалації до рівня SYSTEM. Рекомендації: прискорене патчування, аудит політик автентифікації й, де можливо, посилення NTLM або перехід на протоколи з взаємною автентифікацією (наприклад, Kerberos).
Що важливо ІТ-командам: оцінка ризиків і пріоритезація
Плануйте розгортання оновлень за трьома критеріями: CVSS‑рейтинг, ступінь експонування сервісів і вплив на бізнес-процеси. Пріоритет — системам на периферії периметра: SMB, вузлам HPC, екземплярам SQL, а також інтерфейсам керування. Для ризиків SMB relay поєднуйте патчі з увімкненням SMB Signing/EPA після тестів сумісності.
Практичні кроки для скорочення атакуваної поверхні
– Оперативно встановіть вересневі оновлення на всі дотичні продукти Microsoft.
– Мінімізуйте доступ до адміністративних і службових портів; зокрема TCP‑5999 для HPC Pack; застосовуйте сегментацію й Zero Trust.
– Вмикайте SMB Server Signing і EPA поетапно, відстежуючи телеметрію та журнали.
– Для SQL Server перевірте залежності від Newtonsoft.Json і оновіть відповідні компоненти.
– Посильте політики автентифікації, журналювання та кореляцію подій у SIEM, щоб швидше виявляти ескалацію привілеїв і relay‑спроби.
Вересневий реліз підкреслює тренд: зловмисники прицільно б’ють по механізмах автентифікації (SMB, NTLM) і високонавантажених сервісах (HPC, хмара). Швидке патчування, сегментація мережі, принцип найменших привілеїв і суворі правила доступу помітно звужують «вікно можливостей» для атак. Проведіть аудит SMB‑конфігурацій, перегляньте залежності SQL та графік оновлень, аби зменшити ризики вже сьогодні.
