В состав мартовского «вторника обновлений» Microsoft вошли исправления для 57 уязвимостей, включая семь проблем нулевого дня, шесть из которых уже находились под атаками.
Также в этом месяце были исправлены шесть критических уязвимостей, связанных с удаленным выполнением кода (RCE).
Напомним, что Microsoft относит к разряду 0-day те уязвимости, информация о которых была публично раскрыта до выхода патчей, а также проблемы, которые активно эксплуатируются в атаках. В этом месяце устранены шесть уязвимостей, которые уже применялись в атаках и только одна проблема отнесена к 0-day из-за раскрытия до выхода патчей.
CVE-2025-24983 (7 баллов по шкале CVSS): повышение привилегий в подсистеме ядра Windows Win32. Уязвимость позволяет локальным злоумышленникам получить привилегии SYSTEM, спровоцировав состояние гонки и победив в ней.
CVE-2025-24984 (4,6 балла по шкале CVSS): раскрытие информации в Windows NTFS. Проблема может использоваться злоумышленниками, которые имеют физический доступ к устройству и подключают к нему вредоносный USB-накопитель. Эксплуатация уязвимости позволяет считывать содержимое хипа памяти и похищать информацию.
CVE-2025-24985 (7,8 балла по шкале CVSS): удаленное выполнение кода, связанное с драйвером файловой системы Windows Fast FAT. Эта RCE-уязвимость связана с целочисленным переполнением в драйвере Windows Fast FAT Driver, что позволяет злоумышленнику выполнить произвольный код.
«Злоумышленник может обманом вынудить локального пользователя уязвимой системы смонтировать специально подготовленный VHD, который впоследствии приведет в действие уязвимость», — объясняют в Microsoft.
Хотя компания не сообщила подробностей о способе эксплуатации этой уязвимости, в прошлом ИБ-исследователи отмечали, что вредоносные VHD-образы распространяются в рамках фишинговых кампаний и через сайты с пиратским ПО.
CVE-2025-24991 (5,5 балла по шкале CVSS): раскрытие информации в Windows NTFS. Атакующие могут использовать эту уязвимость для чтения небольших участков кучи памяти и хищения данных. Злоумышленники могут воспользоваться уязвимостью, обманом вынудив пользователя смонтировать вредоносный VHD-файл.
CVE-2025-24993 (7,8 балла по шкале CVSS): удаленное выполнение кода в Windows NTFS. Уязвимость связана с ошибкой переполнения буфера хипа в Windows NTFS, что в итоге позволяет злоумышленнику выполнить код.
«Злоумышленник может обмануть локального пользователя уязвимой системы и заставить его смонтировать специально созданный VHD, что повлечет за собой срабатывание уязвимости», — поясняет Microsoft.
CVE-2025-26633 (7 баллов по шкале CVSS): обход безопасности в консоли управления Microsoft Management Console. Хотя компания не раскрывает никаких подробностей об этом баге, судя по его описанию, он может быть связан с ошибкой, которая позволяет вредоносным файлам Microsoft Management Console (.msc) обходить защитные функции Windows и выполнять произвольный код.
«В случае атаки через электронную почту или мессенджер злоумышленник может отправить целевому пользователю специально подготовленный файл, предназначенный для эксплуатации уязвимости, — поясняют в Microsoft. — Как бы то ни было, злоумышленник не может заставить пользователя просмотреть контролируемый им контент. Вместо этого атакующему придется убедить пользователя совершить определенное действие. Например, он может убедить пользователя перейти по ссылке, которая перенаправит его на сайт злоумышленника, или отправить жертве вредоносное вложение».
Что касается уязвимости, которая была публично раскрыта до выхода патчей, это проблема CVE-2025-26630, связанная с удаленным выполнением кода в Microsoft Access. По данным компании, проблема возникает из-за ошибки use-after-free. Чтобы воспользоваться этим багом, необходимо обманом заставить пользователя открыть специально подготовленный файл Access (с помощью фишинга или социальной инженерии). При этом уязвимость не работает через панель предварительного просмотра.
Также мартовские патчи исправили шесть критических уязвимостей, пока не применявшихся в атаках. Две из них были обнаружены в службе Windows Remote Desktop Services (RDS) и оцениваются в 8,1 балла по шкале CVSS. Первая проблема, CVE-2025-24035, представляет собой уязвимость хранения конфиденциальных данных, вызванную неправильной блокировкой памяти в RDS. Вторая, CVE-2025-24045, требует от злоумышленника спровоцировать состояние гонки и успешно его эксплуатировать.
Кроме того, в Remote Desktop Client обнаружена проблема CVE-2025-26645 (8,8 балла по шкале CVSS), который позволяет неавторизованному злоумышленнику выполнить код посредством path traversal, когда уязвимый клиент подключается к вредоносному серверу.
Другая критическая уязвимость обнаружена в Office, CVE-2025-24057 (7,8 балла по шкале CVSS) и представляет собой переполнение буфера хипа. Эксплуатация этого бага, похоже, требует взаимодействия с пользователем. Так, вероятно, жертва должна просмотреть файл через панель предварительного просмотра.
Две оставшиеся критические уязвимости: use-after-free проблема CVE-2025-24064 в Windows DNS Server, а также уязвимость удаленного выполнения кода в подсистеме Windows для Linux — CVE-2025-24084.
