Майский «вторник обновлений» принес исправления для 78 уязвимостей в продуктах Microsoft, причем пять из них относились к категории 0-day и уже активно эксплуатировались злоумышленниками.
Напомним, что Microsoft относит к разряду 0-day те уязвимости, информация о которых была публично раскрыта до выхода патчей, а также проблемы, которые активно эксплуатируются в атаках. В этом месяце устранены пять уязвимостей, которые уже применялись в атаках.
CVE-2025-30400 (7,8 балла по шкале CVSS) — повышение привилегий в DWM Core Library. Эта уязвимость позволяла злоумышленникам получить привилегии уровня SYSTEM. Стоит отметить, что перед такими атаками уязвим Windows Server 2025.
«Use-after-free проблема в Windows DWM позволяла авторизованному злоумышленнику локально повысить привилегии», — говорится в сообщении компании.
CVE-2025-32701 (7,8 балла по шкале CVSS) — уязвимость повышения привилегий в драйвере файловой системы Windows Common Log. Этот баг тоже позволял злоумышленникам получить привилегии уровня SYSTEM.
«Use-after-free проблема в драйвере Windows Common Log File System (CLFS) позволяла авторизованному злоумышленнику локально повысить привилегии», — пишут разработчики.
CVE-2025-32706 (7,8 балла по шкале CVSS) — еще одно повышение привилегий в драйвере Windows Common Log File System, дающее атакующим привилегии SYSTEM.
«Некорректная проверка входных данных в драйвере Windows Common Log File System позволяла авторизованному злоумышленнику локально повысить привилегии», — комментируют в Microsoft.
CVE-2025-32709 (7,8 балла по шкале CVSS) — и снова повышение привилегий до уровня SYSTEM, только на этот раз в драйвере Windows Ancillary Function Driver for WinSock.
«Use-after-free недостаток в Windows Ancillary Function Driver for WinSock позволяет авторизованному злоумышленнику локально повысить привилегии», — поясняют в компании.
CVE-2025-30397 (7,5 балла по шкале CVSS) — повреждение памяти скриптового движка. Эта уязвимость ведет к удаленному выполнению кода, если эксплуатировать ее в контексте Microsoft Edge или Internet Explorer.
«Доступ к ресурсу с использованием несовместимого типа (type confusion) в Microsoft Scripting Engine позволяет неавторизованному злоумышленнику удаленно выполнить код», — сообщили Microsoft.
По словам представителей компании, для успешной атаки злоумышленникам необходимо обмануть аутентифицированного пользователя и заставить его кликнуть на специальной ссылке в Edge или Internet Explorer. Это позволит неаутентифицированному атакующему добиться удаленного выполнения кода.
Пока в компании не сообщают никаких подробностей о том, как именно перечисленные уязвимости использовались в атаках, а также не публикуют индикаторы компрометации.
Как уже было упомянуто выше, Microsoft относит к уязвимостям нулевого дня проблемы, информация о которых была раскрыта до выхода патчей. В этом месяце таких багов насчитывается два.
CVE-2025-26685 — уязвимость в Microsoft Defender for Identity, которая допускает спуфинг другой учетной записи при атаке без аутентификации.
«Некорректная аутентификация в Microsoft Defender for Identity позволяет неавторизованному злоумышленнику выполнить спуфинг через смежную сеть», — объясняют в Microsoft.
Фактически эта проблема может использоваться неавторизованным злоумышленником, если у него есть доступ к локальной сети.
CVE-2025-32702 — уязвимость удаленного выполнения кода в Visual Studio, которая может применяться неаутентифицированным злоумышленником.
«Некорректная нейтрализация специальных элементов, используемых в командах (command injection) в Visual Studio позволяет неавторизованному атакующему локально выполнить код», — пишут разработчики.
Среди других устраненных в этом месяце проблем следует выделить ряд уязвимостей в Azure, особенно CVE-2025-29813, набравшую максимальные 10 баллов по шкале CVSS. Эта проблема позволяла обойти аутентификацию в Azure DevOps Server. Подчеркивается, что недостаток уже исправлен в облаке, и со стороны клиентов не требуется никаких дополнительных действий.
Кроме того, CVE-2025-29827 допускала атаки на повышение привилегий против службы Azure Automation, а CVE-2025-29972 представляла собой спуфинговую атаку на службу Azure Storage.
