В рамках апрельского вторника обновлений компания Microsoft выпустила патчи для более чем 120 уязвимостей, включая одну уязвимость нулевого дня, которая уже применялась хакерами.
В общей сложности в этом месяце было устранено 11 критических уязвимостей, и все они были связаны с удаленным выполнением произвольного кода.
Также была исправлена одна уже находящаяся под атаками 0-day проблема. Напомним, что Microsoft относит к уязвимостям нулевого дня все баги, информация о которых была публично раскрыта до выхода патчей, а также проблемы, которые уже применялись в реальных атаках.
0-day CVE-2025-29824 (7,8 балла по шкале CVSS) относится ко второй категории и связана с эскалацией привилегий в драйвере Windows Common Log File System. По данным компании, эта проблема относится к типу use-after-free и позволяет локальным злоумышленникам получить привилегии уровня SYSTEM на уязвимом устройстве без участия пользователя.
«Обновления безопасности для систем x64 Windows 10 и 32-битных версий Windows 10 пока недоступны, — сообщает Microsoft. — Эти обновления будут выпущены как можно скорее, и когда они станут доступны, пользователи будут оповещены об этом с помощью изменения в информации об этом CVE».
Также по данным Microsoft, пока выпуск патчей для Windows 10 LTSB 2015 тоже временно отложен, но они будут выпущены в ближайшем будущем.
Как сообщили в компании, CVE-2025-29824 использовалась в атаках вымогательской хак-группы RansomEXX (она же Storm-2460), и с ее помощью злоумышленники повышали привилегии в системах жертв.
Подчеркивается, что баг применялся лишь в ограниченном числе атак, но среди пострадавших были компании, работающие в сфере информационных технологий и недвижимости в США, финансовый сектор в Венесуэле, испанская компания-разработчик ПО и предприятия розничной торговли в Саудовской Аравии.
«Пользователей Windows 11 24H2 эксплуатация уязвимости не затронула, даже если проблема присутствовала в системе. Microsoft настоятельно рекомендует пользователям как можно скорее установить обновления», — сообщают в компании.
Известно, что злоумышленники развертывали во взломанных системах бэкдор PipeMagic, который использовался для развертывания эксплоита для CVE-2025-29824, вымогательской полезной нагрузки и шифрования файлов.
Как ранее сообщали аналитики компании ESET, также PipeMagic использовался для развертывания эксплоитов, нацеленных на другую уязвимость нулевого дня в подсистеме ядра Windows Win32 — CVE-2025-24983. Причем эта проблема применялась злоумышленниками в атаках с марта 2023 года.
Малварь PipeMagic была обнаружена экспертами «Лаборатории Касперского» еще в 2022 году. Вредонос способен собирать конфиденциальные данные, предоставлять злоумышленникам полный удаленный доступ к зараженным устройствам и развертывать дополнительные полезные нагрузки для бокового перемещения по сетям жертв.
В 2023 году специалисты «Лаборатории Касперского» наблюдали применение PipeMagic в атаках вымогателя Nokoyawa, когда злоумышленники использовали другую уязвимость нулевого дня в Windows, связанную с повышением привилегий в драйвере файловой системы Common Log (CVE-2023-28252).
