В рамках июньского «вторника обновлений» компания Microsoft исправила 66 уязвимостей, включая две проблемы нулевого дня, одна из которых уже применялась в атаках.
Также была устранена уязвимость обхода Secure Boot, которая могла применяться для установки буткитов.
Только одна 0-day уязвимость июня относилась к категории уже эксплуатируемых хакерами — . Эта проблема связана с удаленным выполнением кода в Web Distributed Authoring and Versioning (WEBDAV) и была обнаружена экспертами Check Point Research.
В бюллетене безопасности отмечается, что для эксплуатации этой уязвимости пользователь должен кликнуть на специально подготовленный злоумышленниками WebDav URL.
Как рассказывают специалисты Check Point в , CVE-2025-33053 применялась в атаках APT-группировки Stealth Falcon.
Напомним, что Microsoft относит к разряду 0-day те уязвимости, информация о которых была публично раскрыта до выхода патчей, а также проблемы, которые активно эксплуатируются в атаках. Поэтому вторая 0-day этого месяца (CVE-2025-33073) не использовалась в атаках, а была раскрыта до выхода исправлений.
Уязвимость нулевого дня связана с повышением привилегий в клиенте Windows SMB и позволяла злоумышленникам получить привилегии уровня SYSTEM на уязвимых устройствах.
Microsoft не сообщает, где именно были раскрыты детали этой проблемы. Однако по данным , ранее на этой неделе DFN-CERT начал распространять предупреждения об этой уязвимости.
Этот баг генеральным директором и основателем компании Binarly Алексом Матросовым, когда тот нашел в сети утилиту для перепрошивки BIOS, подписанную UEFI-сертификатом Microsoft. Исходно эта утилита предназначалась для защищенных планшетов DT Research, но поскольку она была подписана сертификатом Microsoft, ее можно было применить для любой системы с поддержкой Secure Boot.
Дальнейшее расследование показало, что этот инструмент циркулировал в сети как минимум с конца 2022 года, а затем был загружен на в 2024 году, где его и обнаружил исследователь.
Представители Binarly уведомили о проблеме CERT/CC еще в феврале 2025 года, и в этом месяце Microsoft устранила CVE-2025-3052. Причем в ходе изучения проблемы Microsoft обнаружила еще 13 вариантов инструмента DT Research, хеши которых в итоге были добавлены в черный список DBX (БД, в которой перечислены модули, которые были отозваны или утратили доверие по иным причинам).
Как объясняют исследователи, эта утилита считывает доступную для записи пользователем переменную NVRAM (IhisiParamBuffer) без валидации. Если злоумышленник обладает правами администратора, он может изменить эту переменную таким образом, чтобы произвольные данные записывались в ячейки памяти во время процесса загрузки UEFI. Напомним, что это происходит еще до загрузки операционной системы или ядра.
Эксперты Binarly подготовили эксплоит для CVE-2025-3052, который обнуляет глобальную переменную gSecurity2, которая используется для обеспечения работы Secure Boot.
Таким образом, злоумышленники могли использовать уязвимость для установки буткитов, которые оставались бы скрытыми от операционной системы и позволяли отключать и другие защитные механизмы.
Кроме того, следует отметить, что на этой неделе ИБ-исследователь Зак Дидкотт (Zack Didcott) продемонстрировал еще для обхода Secure Boot.
Как объяснил эксперт, проблеме присвоен идентификатор CVE-2025-47827, и она связана с модулем ядра Linux , который нужен для проприетарной системы управления логическими томами. Начальный shim, который загружает GRUB и уязвимое ядро, подписан Microsoft.
Таким образом, злоумышленники, имеющие даже кратковременный физический доступ к устройству, могут использовать IGEL и модифицировать загрузчик для установки вредоносного ПО. По словам Дидкотта, он сообщил об уязвимости в Microsoft, однако так и не получил ответа о том, что компания планирует отозвать подпись.
Также была устранена уязвимость обхода Secure Boot, которая могла применяться для установки буткитов.
Patch Tuesday
В общей сложности в этом месяце разработчики выпустили патчи для десяти критических уязвимостей, восемь из которых были связаны с удаленным выполнением кода, а две — с повышением привилегий.Только одна 0-day уязвимость июня относилась к категории уже эксплуатируемых хакерами — . Эта проблема связана с удаленным выполнением кода в Web Distributed Authoring and Versioning (WEBDAV) и была обнаружена экспертами Check Point Research.
В бюллетене безопасности отмечается, что для эксплуатации этой уязвимости пользователь должен кликнуть на специально подготовленный злоумышленниками WebDav URL.
Как рассказывают специалисты Check Point в , CVE-2025-33053 применялась в атаках APT-группировки Stealth Falcon.
Напомним, что Microsoft относит к разряду 0-day те уязвимости, информация о которых была публично раскрыта до выхода патчей, а также проблемы, которые активно эксплуатируются в атаках. Поэтому вторая 0-day этого месяца (CVE-2025-33073) не использовалась в атаках, а была раскрыта до выхода исправлений.
Уязвимость нулевого дня связана с повышением привилегий в клиенте Windows SMB и позволяла злоумышленникам получить привилегии уровня SYSTEM на уязвимых устройствах.
Microsoft не сообщает, где именно были раскрыты детали этой проблемы. Однако по данным , ранее на этой неделе DFN-CERT начал распространять предупреждения об этой уязвимости.
Проблемы Secure Boot
Еще одна исправленная уязвимость — не является критической и не относится к категории 0-day, однако ее можно назвать одной из важнейших в этом месяце.Этот баг генеральным директором и основателем компании Binarly Алексом Матросовым, когда тот нашел в сети утилиту для перепрошивки BIOS, подписанную UEFI-сертификатом Microsoft. Исходно эта утилита предназначалась для защищенных планшетов DT Research, но поскольку она была подписана сертификатом Microsoft, ее можно было применить для любой системы с поддержкой Secure Boot.
Дальнейшее расследование показало, что этот инструмент циркулировал в сети как минимум с конца 2022 года, а затем был загружен на в 2024 году, где его и обнаружил исследователь.
Представители Binarly уведомили о проблеме CERT/CC еще в феврале 2025 года, и в этом месяце Microsoft устранила CVE-2025-3052. Причем в ходе изучения проблемы Microsoft обнаружила еще 13 вариантов инструмента DT Research, хеши которых в итоге были добавлены в черный список DBX (БД, в которой перечислены модули, которые были отозваны или утратили доверие по иным причинам).
Как объясняют исследователи, эта утилита считывает доступную для записи пользователем переменную NVRAM (IhisiParamBuffer) без валидации. Если злоумышленник обладает правами администратора, он может изменить эту переменную таким образом, чтобы произвольные данные записывались в ячейки памяти во время процесса загрузки UEFI. Напомним, что это происходит еще до загрузки операционной системы или ядра.
Эксперты Binarly подготовили эксплоит для CVE-2025-3052, который обнуляет глобальную переменную gSecurity2, которая используется для обеспечения работы Secure Boot.
Таким образом, злоумышленники могли использовать уязвимость для установки буткитов, которые оставались бы скрытыми от операционной системы и позволяли отключать и другие защитные механизмы.
Кроме того, следует отметить, что на этой неделе ИБ-исследователь Зак Дидкотт (Zack Didcott) продемонстрировал еще для обхода Secure Boot.
Как объяснил эксперт, проблеме присвоен идентификатор CVE-2025-47827, и она связана с модулем ядра Linux , который нужен для проприетарной системы управления логическими томами. Начальный shim, который загружает GRUB и уязвимое ядро, подписан Microsoft.
Таким образом, злоумышленники, имеющие даже кратковременный физический доступ к устройству, могут использовать IGEL и модифицировать загрузчик для установки вредоносного ПО. По словам Дидкотта, он сообщил об уязвимости в Microsoft, однако так и не получил ответа о том, что компания планирует отозвать подпись.
