В февральский набор патчей от компании Microsoft вошли исправления для 63 уязвимостей, включая четыре проблемы нулевого дня, две из которых уже активно использовались в атаках.
Кроме того, три уязвимости в этом месяце получили статус критических и могли привести к удаленному выполнению кода.
Напомним, что Microsoft относит к разряду 0-day те уязвимости, информация о которых была публично раскрыта до выхода патчей, а также проблемы, которые активно эксплуатируются в атаках. В этом месяце устранены две уязвимости, уже применявшиеся хакерами:
CVE-2025-21391 (7,1 балла по шкале CVSS) — повышение привилегий в хранилище Windows (Windows Storage). По данным компании, эта уязвимость могла использоваться для удаления файлов.
«Злоумышленник может удалить только определенные файлы в системе. Эта уязвимость не позволяет раскрыть какую-либо конфиденциальную информацию, но позволяет атакующему удалить данные, что в итоге может привести к недоступности сервиса», — объясняют в Microsoft.
Кто именно обнаружил эту проблему, и как именно она использовалась в атаках, пока не сообщается.
CVE-2025-21418 (7,8 балла по шкале CVSS) — повышение привилегий в Windows Ancillary Function Driver for WinSock (AFD.sys). Этот баг позволяет злоумышленникам получить привилегии уровня SYSTEM в Windows.
Неизвестно, как именно уязвимость использовалась в атаках. Microsoft сообщает, что сведения о проблеме раскрыты анонимно.
Еще две 0-day уязвимости этого месяца не использовались в атаках, но были публично раскрыты до выхода патчей:
CVE-2025-21194 — обход защитной функции в Microsoft Surface связан с уязвимостью гипервизора, что позволяет злоумышленникам обойти UEFI и скомпрометировать защищенное ядро.
«На определенном оборудовании эта уязвимость позволяет обойти UEFI, что может привести к компрометации гипервизора и ядра», — сообщает Microsoft.
Microsoft пишет, что этот баг обнаружили специалисты компании Quarkslab. И хотя бюллетень безопасности не содержит практически никаких подробностей, судя по всему, это уязвимость связана с проблемой PixieFail, о которой исследователи Quarkslab писали в прошлом месяце. Напомним, что PixieFail — это общее название для девяти уязвимостей, которые затрагивают стек протоколов IPv6 в Tianocore EDK II, опенсорсной эталонной имплементации спецификации UEFI.
CVE-2025-21377 — проблема раскрытия и спуфинга NTLM-хешей, которая раскрывает хеши пользователя Windows, позволяя удаленному злоумышленнику войти в систему под именем жертвы.
«Минимальное взаимодействие пользователя с вредоносным файлом, такое как выделение (один клик), проверка (правый клик) или выполнение действий, отличных от открытия или выполнения файла, могло спровоцировать срабатывание этой уязвимости», — пишут специалисты Microsoft.
В этом случае компания также не раскрыла практически никаких подробностей, но сообщила, что баг был найден экспертами из компаний Cathay Pacific, Securify B.V. и ACROS Security.
Помимо перечисленных уязвимостей нулевого дня, наиболее серьезной из проблем, исправленных в феврале, можно назвать CVE-2025-21198 (9 баллов по шкале CVSS). Этот дефект связан с удаленным выполнением кода в пакете High Performance Compute (HPC).
В Microsoft пояснили, что для атаки злоумышленнику потребуется доступ к сети, соединяющей машины в целевом кластере HPC, но после эксплуатации уязвимость может распространиться на другие кластеры и узлы в той же сети, тоже позволяя выполнять произвольный код.
Также стоит упомянуть и другую RCE-уязвимость CVE-2025-21376 (8,1 балла по шкале CVSS). Эта проблема затрагивает протокол Windows Lightweight Directory Access Protocol (LDAP) и позволяет злоумышленнику отправить специально сформированный запрос, который приведет к выполнению произвольного кода. Однако подчеркивается, что для успешной эксплуатации злоумышленнику нужно «выиграть», после возникновения состояния гонки.
