Patch Tuesday від Microsoft: 81 уразливість, два 0‑day і критичні патчі для SMB, NTLM, HPC, SQL та Azure

CyberSecureFox 🦊

Microsoft оприлюднила вересневий пакет оновлень безпеки, який закриває 81 уразливість у продуктовій лінійці компанії. У переліку — дев’ять критичних дефектів (переважно RCE) і два 0‑day, деталі яких стали публічними до виходу патчів. За даними MSRC, ознаки активної експлуатації не зафіксовані, однак вікно ризику традиційно високе для сервісів, що доступні ззовні.

Головні 0‑day: SMB relay та Newtonsoft.Json у складі SQL Server

CVE-2025-55234: підвищення привілеїв через SMB relay

CVE-2025-55234 (CVSS 8.8) у Windows SMB Server відкриває шлях до атак типу relay, коли зловмисник перехоплює та переспрямовує автентифікацію, здобуваючи підвищення привілеїв від імені жертви. Значно зменшують ризик SMB Server Signing і Extended Protection for Authentication (EPA). Водночас можливі суміснісні обмеження зі старими клієнтами; рекомендується поетапне ввімкнення в тестових і низькоризикових сегментах із постійним моніторингом.

CVE-2024-21907: відмова в обслуговуванні через Newtonsoft.Json у SQL Server

CVE-2024-21907 (CVSS 7.5) стосується бібліотеки Newtonsoft.Json, що постачається з окремими збірками Microsoft SQL Server. Спеціально сформовані дані до JsonConvert.DeserializeObject можуть спричинити переповнення стеку (StackOverflow) і DoS без автентифікації в певних сценаріях. Проблема була розкрита публічно раніше; нині доставлено офіційне виправлення.

Критичні виправлення: Azure CVSS 10.0, RCE в HPC Pack і привілеї в NTLM

CVE-2025-54914: критичний дефект у мережевих службах Azure

CVE-2025-54914 отримала CVSS 10.0 і зачіпає мережеві компоненти Azure, потенційно дозволяючи підвищення привілеїв. Оскільки це уразливість у площині хмарної платформи, дій від клієнтів не потрібно — виправлення застосовуються на стороні Microsoft.

CVE-2025-55232: віддалене виконання коду в Microsoft HPC Pack

CVE-2025-55232 (CVSS 9.8) — RCE у Microsoft High Performance Compute (HPC) Pack, що дозволяє виконання довільного коду на вузлах кластера. Практична мінімізація ризиків: розміщувати кластери в довірених сегментах, обмежити зовнішній доступ і фільтрувати TCP‑порт 5999 на межових і внутрішніх брандмауерах.

CVE-2025-54918: підвищення привілеїв у Windows NTLM

CVE-2025-54918 (CVSS 8.8) уразливлює Windows NTLM і може призвести до ескалації до рівня SYSTEM. Рекомендації: прискорене патчування, аудит політик автентифікації й, де можливо, посилення NTLM або перехід на протоколи з взаємною автентифікацією (наприклад, Kerberos).

Що важливо ІТ-командам: оцінка ризиків і пріоритезація

Плануйте розгортання оновлень за трьома критеріями: CVSS‑рейтинг, ступінь експонування сервісів і вплив на бізнес-процеси. Пріоритет — системам на периферії периметра: SMB, вузлам HPC, екземплярам SQL, а також інтерфейсам керування. Для ризиків SMB relay поєднуйте патчі з увімкненням SMB Signing/EPA після тестів сумісності.

Практичні кроки для скорочення атакуваної поверхні

– Оперативно встановіть вересневі оновлення на всі дотичні продукти Microsoft.
– Мінімізуйте доступ до адміністративних і службових портів; зокрема TCP‑5999 для HPC Pack; застосовуйте сегментацію й Zero Trust.
– Вмикайте SMB Server Signing і EPA поетапно, відстежуючи телеметрію та журнали.
– Для SQL Server перевірте залежності від Newtonsoft.Json і оновіть відповідні компоненти.
– Посильте політики автентифікації, журналювання та кореляцію подій у SIEM, щоб швидше виявляти ескалацію привілеїв і relay‑спроби.

Вересневий реліз підкреслює тренд: зловмисники прицільно б’ють по механізмах автентифікації (SMB, NTLM) і високонавантажених сервісах (HPC, хмара). Швидке патчування, сегментація мережі, принцип найменших привілеїв і суворі правила доступу помітно звужують «вікно можливостей» для атак. Проведіть аудит SMB‑конфігурацій, перегляньте залежності SQL та графік оновлень, аби зменшити ризики вже сьогодні.

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються дані ваших коментарів.