Главная

  1. Страницы
  2. Главная
Обложка статьи

Patchocalypse Now — Microsoft залатал 63 дыры

Новости · 13.11.2025
🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и реальные скиллы.

Microsoft выкатил очередной коробочный набор патчей — 63 уязвимости, четыре из них — критические, остальные — важняк. Среди всего этого кутерьма — ядровой zero-day CVE-2025-62215, который уже использовался в реальных атаках как билет до SYSTEM: если у злоумышленника есть локальный foothold, он может выиграть «гонку» и поднять себя до привилегий ядра. Короче, не нужно взламывать сеть — достаточно попасть на машину и запустить забавную программу, которая будет пытаться довести до race condition, пока ядро не скажет «ладно, берите SYSTEM».

Это не просто баг — это «double free/heap corruption» при гонке потоков за общий ресурс в Windows Kernel: многопоточный код путает управление памятью, та же область освобождается дважды, куча портится, и злоумышленник может перезаписать указатели и захватить выполнение. Сценарий хорошо знаком тем, кто любит chaining: remote exploit → локальный код → kernel race → SYSTEM → доминируем в сети.

В пачке апдейтов также лежат две большие и жирные дыры в графике и WSL GUI (CVE-2025-60724 и CVE-2025-62220) — heap-overflow с RCE возможностью, CVSS почти у края шкалы. Там те же старые песни о некорректной обработке данных: пришёл обработчик — и бах, память поперёк, код злоумышленника исполняется в контексте уязвимого сервиса. Если у вас открыты возможности для рендеринга сторонних форматов — это повышенная концентрация «нехороших идей» в ваших логах.

Отдельная жара — Kerberos-дыра (CVE-2025-60704), олдскульный, но изящный ход: нарушён криптографический шаг в Kerberos-constrained-delegation. Silverfort называет это CheckSum и говорит просто: если ты в сети домена с включённой delegated auth, то злоумышленник с возможностью MITM может подделать делегирование и в итоге — impersonate anyone, uplift to domain admin, и рулить лесом машин. Это не «голый remote exploit», это атака цепочки: сперва компрометация учётки/перехват трафика, затем abuse-delegation и — привет, домен ваш.

Почему это важно и почему стоит бросаться на апдейты уже вчера:
— Kernel race (CVE-2025-62215) — post-exploitation candy. Утилита для локалки превращается в root-эскалацию. Убедительная рекомендация — если есть подозрение на initial access (phishing, RDP, supply chain), готовьтесь к эскалации.
— Heap overflows в графике/WSL — потенциальный вектор для удалённого исполнения. Серверы, терминалы, рабочие станции с открытыми возможностями рендеринга — целевые.
— Kerberos CheckSum — моментально переводит инцидент из «локального» в «панорамный»: атака на AD разом снимает защиту всей организации.

Технический бэкстейдж, но в духе «как это ломают»: race condition в ядре — это игра в многопоточный тотализатор. Атакующий запускает много потоков, гонит их на одно и то же syscall/операцию, цель — довести до состояния, когда kernel дважды освободит память или не успеет установить нужные барьеры. После этого можно overwrite pointers и подставить управление на свою часть памяти. Double-free → heap corruption → overwrite → hijack execution flow. Удача, терпение и повторяемость — и у тебя SYSTEM.

Что делать прямо сейчас (быстро, по-приземлённому):
— Патчите без драм: примените ноябрьные патчи Microsoft немедленно, в первую волну — тех, кто критичен или в зоне риска. Kernel race требует внимания прежде всего на машинах, где есть вероятность initial access.
— Минимизируйте initial access вектор: закройте RDP, включите MFA, примените conditional access, уберите ненужные сервисы, поставьте EDR/EDR-правила на подозрительное локальное исполнение и массовое создание потоков.
— Для Kerberos: пересмотрите настройки delegation, по возможности отключите unconstrained/constrained delegation там, где его можно убрать. Логи — в вашу пользу: мониторьте странные Kerberos события, sudden auth patterns и попытки LView impersonation.
— Мониторьте процессы, которые выполняют рендеринг/обработку графики и WSL GUI, и ограничьте привилегии приложений, принимающих внешние файлы.
— План реагирования: готовьте playbook для post-exploitation chain (RCE → local exploit → kernel → lateral) — имея заранее готовые ответные шаги, вы экономите целые часы в бой.

И ещё пара практических мыслей для сисадминов и IR-команд:
— Соберите все критические endpoints и примените апдейты в приоритетной очереди. Не откладывайте «на выходные».
— Сигнатуры и EDR могут не поймать гонку в ядре — поведение здесь ключ. Смотрите на необычную активность локальных процессов, массовые thread-spawns, eksfil-подозрительность и «странные» сбои ядра.
— Для Kerberos — настройте мониторинг delegation flows и alert на аномальные S4U2Self/S4U2Proxy patterns. Пересмотрите ACLы для сервисов, которые требуют делегирования.
— Тестируйте апдейты в контролируемой среде, но не тяните с деплоем на производстве: exploit в дикой природе есть, значит, дело срочное.

Наконец — контекст: Microsoft тоже не одна с багами в кармане. Этот патч-спринт показал, что критические эксплойты всё ещё приходят через ядро и через инфраструктуру централизованной аутентификации. Апдейты от сотен вендоров в списке — сигнал, что ноябрьская вьюха слаще обычного Patch Tuesday: Adobe, AWS, AMD, Apple, Cisco, Intel, NVIDIA, VMware, и куча Linux-дистрибутивов тоже выкатывали обновления. В мире, где одна пачка уязвимостей может превратить сеть в тестовую площадку для атак, массовая и быстрая иммунизация — единственный здравый путь.

📘 Понравилась статья?
Больше практики — в Kraken Academy.
Подписывайся на наш Telegram-канал.
Рекомендуемые статьи
Обложка

Rhadamanthys 0.9.2 fingerprint’ит устройства

Читать полностью →
Обложка

Группа UAT-7237 и Тайвань

Читать полностью →
Обложка

QuirkyLoader

Читать полностью →