Последний в этом году «вторник обновлений» принес патчи для 57 уязвимостей в продуктах Microsoft, три из которых были классифицированы как уязвимости нулевого дня. Одна из проблем уже активно используется в атаках, позволяя злоумышленникам получить привилегии уровня SYSTEM в Windows.
Напомним, что Microsoft относит к категории 0-day не только те уязвимости, которые уже применялись хакерами на практике, но и баги, информация о которых была публично раскрыта до выхода патчей.
Наиболее опасная среди исправленных в этом месяце проблем — CVE-2025-62221 (7,8 балла по шкале CVSS). Это use-after-free проблема в драйвере Windows Cloud Files Mini Filter Driver, которая позволяет авторизованным злоумышленникам локально повысить привилегии до уровня SYSTEM.
Баг обнаружили собственные специалисты Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC). В компании сообщают, что эта уязвимость уже эксплуатируется в реальных атаках, однако пока не раскрывают никаких подробностей.
Помимо CVE-2025-62221, в том же драйвере закрыли еще одну проблему — CVE-2025-62454 (7,8 балла). Она тоже позволяет повысить привилегии и, по данным Microsoft, может быть использована в атаках в ближайшем будущем.
Информация о двух других 0-day-уязвимостях была публично раскрыта до выхода исправлений, но проблемы пока не применялись злоумышленниками, и специалисты Microsoft отмечают, что вероятность их эксплуатации остается низкой.
CVE-2025-64671 связана с инъекциями команд в GitHub Copilot for Jetbrains. Проблема позволяет атакующему локально выполнить код через промпт-инжект в ненадежных файлах или MCP-серверах.
Баг нашел ИБ-исследователь Ари Марзук (Ari Marzuk), который недавно раскрыл его в рамках отчета «IDEsaster: A Novel Vulnerability Class in AI IDEs».
CVE-2025-54100 — еще одна инъекция команд, только на этот раз связанная с PowerShell. Уязвимость может привести к выполнению скриптов, встроенных в веб-страницу, когда пользователь извлекает ее с помощью Invoke-WebRequest.
«Некорректная нейтрализация специальных элементов, используемых в командах (command injection) в Windows PowerShell, позволяет неавторизованному атакующему локально выполнить код», — объясняют разработчики.
Microsoft внесла изменения, и теперь при использовании Invoke-WebRequest в PowerShell отображается предупреждение и предлагается добавить флаг -UseBasicParsing для предотвращения выполнения кода.
Помимо трех 0-day декабрьские патчи закрывают еще 13 уязвимостей в Office, включая две критические — CVE-2025-62554 и CVE-2025-62557 (8,4 балла по шкале CVSS). Обе эти проблемы (относятся к типам type confusion и use-after-free) позволяют удаленно выполнить произвольный код. Для их эксплуатации злоумышленники могут использовать социальную инженерию и вынудить жертву кликнуть на вредоносную ссылку. При этом вектором атаки выступает Preview Pane в Office.
«В худшем сценарии атаки по электронной почте злоумышленник может отправить жертве специально подготовленное письмо. Открывать его, читать или кликать по ссылке не потребуется. Однако это может привести к удаленному выполнению кода на машине жертвы», — предупреждают разработчики Microsoft.
Отметим, что по итогам 2025 года Microsoft выпустила патчи примерно для 1200 уязвимостей в своих продуктах. Это уже второй раз подряд, когда компания закрывает более 1000 проблем за год.
