- 20,167
- 46
- 8 Ноя 2022
Пока вы работали в Office, хакеры тихо взламывали вашу систему.
Согласно отчету Лаборатории Касперского, во втором квартале 2025 года активность вокруг уязвимостей заметно усилилась: под ударом оказались практически все подсистемы современных компьютеров — от UEFI и драйверов до браузеров, операционных систем и приложений. Как и ранее, злоумышленники продолжают использовать такие уязвимости в реальных атаках для получения доступа к пользовательским устройствам, а также активно комбинируют их с C2-фреймворками в рамках сложных целенаправленных операций.
Анализ статистики по CVE за последние 5 лет показывает устойчивый рост общего числа зарегистрированных уязвимостей. Если в начале 2024 года их было около 2600, то уже в январе 2025 эта цифра превысила 4000. Исключением стал только май, в остальном динамика продолжала набирать обороты. При этом часть CVE может быть зарегистрирована с идентификаторами прошлых лет, но опубликована только в 2025 году. Что особенно тревожно — в первом полугодии 2025-го также существенно выросло число критических уязвимостей с баллом CVSS выше 8.9. Хотя не все уязвимости получают оценку по этой шкале, наблюдается положительная тенденция: критические баги чаще сопровождаются подробными описаниями и становятся предметом публичного разбора, что может способствовать более оперативному устранению рисков.
Наиболее активно эксплуатируемыми уязвимостями в Windows во втором квартале снова стали старые проблемы Microsoft Office — CVE-2018-0802 , CVE-2017-11882 и CVE-2017-0199 , затрагивающие компонент Equation Editor. За ними следуют эксплойты для WinRAR ( CVE-2023-38831 ), уязвимость в Проводнике Windows ( CVE-2025-24071 ), позволяющая похищать NetNTLM-хэши, и баг в драйвере ks.sys ( CVE-2024-35250 ), дающий злоумышленнику возможность выполнить произвольный код. Все эти уязвимости применяются как для первичного доступа, так и для эскалации привилегий.
Что касается Linux, то самыми распространёнными эксплойтами стали Dirty Pipe ( CVE-2022-0847 ), CVE-2019-13272 , связанная с унаследованными привилегиями, и CVE-2021-22555 — heap- уязвимость в подсистеме Netfilter, использующая технику Use-After-Free через манипуляции с msg_msg. Это подтверждает продолжающийся рост интереса атакующих к Linux-системам — прежде всего из-за расширяющейся пользовательской базы.
В публичных источниках по-прежнему доминируют эксплойты для операционных систем, в то время как новых публикаций об уязвимостях Microsoft Office в этом квартале не появилось. Что касается целевых атак, то в APT-операциях чаще всего эксплуатировались уязвимости в средствах удалённого доступа, редакторах документов и подсистемах логирования. На первом месте — инструменты low-code/no-code и даже фреймворки для приложений с ИИ, что говорит о росте интереса атакующих к современным средствам разработки. Интересно, что найденные баги касались не сгенерированного кода, а самого инфраструктурного ПО.
Среди C2-фреймворков в первом полугодии 2025 года лидировали Sliver, Metasploit , Havoc и Brute Ratel C4 — они напрямую поддерживают работу с эксплойтами и дают атакующим богатые возможности для закрепления, удалённого управления и дальнейшей автоматизации. Остальные инструменты, как правило, адаптировались вручную для конкретных атак.
По результатам анализа сэмплов с эксплойтами и C2-агентами были выявлены следующие ключевые уязвимости, использовавшиеся в APT-операциях: CVE-2025-31324 в SAP NetWeaver Visual Composer <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>data Uploader (удалённое выполнение кода, CVSS 10.0), CVE-2024-1709 в ConnectWise ScreenConnect (обход аутентификации, CVSS 10.0), CVE-2024-31839 и CVE-2024-30850 в CHAOS v5.0.1 (XSS и RCE), а также CVE-2025-33053 в Windows, позволяющая выполнить произвольный код через некорректную обработку путей к ярлыкам.
Эти эксплойты позволяли как моментально внедрить вредоносный код, так и действовать поэтапно, начиная со сбора учётных данных.
Особого внимания заслуживают также недавно опубликованные уязвимости. CVE-2025-32433 — это RCE-баг в SSH-сервере фреймворка Erlang/OTP, допускающий удалённое выполнение команд без проверки даже от неавторизованных пользователей. CVE-2025-6218 — очередная directory traversal-уязвимость в WinRAR , схожая с CVE-2023-38831 : позволяет изменить путь распаковки архива и выполнить код при старте ОС или приложений. CVE-2025-3052 в UEFI позволяет обойти Secure Boot через небезопасную работу с переменными NVRAM. Уязвимость CVE-2025-49113 в Roundcube Webmail представляет собой классическую проблему небезопасной десериализации и требует авторизованного доступа. Наконец, CVE-2025-1533 в драйвере AsIO3.sys вызывает крах системы при работе с путями длиннее 256 символов — разработчики не учли, что современный лимит в NTFS составляет 32 767 символов.
Итог очевиден: число уязвимостей продолжает расти, особенно критических. Поэтому важно не только своевременно устанавливать обновления, но и следить за наличием C2-агентов на скомпрометированных системах, уделять внимание защите конечных устройств и выстраивать гибкую политику управления патчами. Только так можно эффективно снизить риски эксплуатации и обеспечить устойчивость инфраструктуры.
Согласно отчету Лаборатории Касперского, во втором квартале 2025 года активность вокруг уязвимостей заметно усилилась: под ударом оказались практически все подсистемы современных компьютеров — от UEFI и драйверов до браузеров, операционных систем и приложений. Как и ранее, злоумышленники продолжают использовать такие уязвимости в реальных атаках для получения доступа к пользовательским устройствам, а также активно комбинируют их с C2-фреймворками в рамках сложных целенаправленных операций.
Анализ статистики по CVE за последние 5 лет показывает устойчивый рост общего числа зарегистрированных уязвимостей. Если в начале 2024 года их было около 2600, то уже в январе 2025 эта цифра превысила 4000. Исключением стал только май, в остальном динамика продолжала набирать обороты. При этом часть CVE может быть зарегистрирована с идентификаторами прошлых лет, но опубликована только в 2025 году. Что особенно тревожно — в первом полугодии 2025-го также существенно выросло число критических уязвимостей с баллом CVSS выше 8.9. Хотя не все уязвимости получают оценку по этой шкале, наблюдается положительная тенденция: критические баги чаще сопровождаются подробными описаниями и становятся предметом публичного разбора, что может способствовать более оперативному устранению рисков.
Наиболее активно эксплуатируемыми уязвимостями в Windows во втором квартале снова стали старые проблемы Microsoft Office — CVE-2018-0802 , CVE-2017-11882 и CVE-2017-0199 , затрагивающие компонент Equation Editor. За ними следуют эксплойты для WinRAR ( CVE-2023-38831 ), уязвимость в Проводнике Windows ( CVE-2025-24071 ), позволяющая похищать NetNTLM-хэши, и баг в драйвере ks.sys ( CVE-2024-35250 ), дающий злоумышленнику возможность выполнить произвольный код. Все эти уязвимости применяются как для первичного доступа, так и для эскалации привилегий.
Что касается Linux, то самыми распространёнными эксплойтами стали Dirty Pipe ( CVE-2022-0847 ), CVE-2019-13272 , связанная с унаследованными привилегиями, и CVE-2021-22555 — heap- уязвимость в подсистеме Netfilter, использующая технику Use-After-Free через манипуляции с msg_msg. Это подтверждает продолжающийся рост интереса атакующих к Linux-системам — прежде всего из-за расширяющейся пользовательской базы.
В публичных источниках по-прежнему доминируют эксплойты для операционных систем, в то время как новых публикаций об уязвимостях Microsoft Office в этом квартале не появилось. Что касается целевых атак, то в APT-операциях чаще всего эксплуатировались уязвимости в средствах удалённого доступа, редакторах документов и подсистемах логирования. На первом месте — инструменты low-code/no-code и даже фреймворки для приложений с ИИ, что говорит о росте интереса атакующих к современным средствам разработки. Интересно, что найденные баги касались не сгенерированного кода, а самого инфраструктурного ПО.
Среди C2-фреймворков в первом полугодии 2025 года лидировали Sliver, Metasploit , Havoc и Brute Ratel C4 — они напрямую поддерживают работу с эксплойтами и дают атакующим богатые возможности для закрепления, удалённого управления и дальнейшей автоматизации. Остальные инструменты, как правило, адаптировались вручную для конкретных атак.
По результатам анализа сэмплов с эксплойтами и C2-агентами были выявлены следующие ключевые уязвимости, использовавшиеся в APT-операциях: CVE-2025-31324 в SAP NetWeaver Visual Composer <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>data Uploader (удалённое выполнение кода, CVSS 10.0), CVE-2024-1709 в ConnectWise ScreenConnect (обход аутентификации, CVSS 10.0), CVE-2024-31839 и CVE-2024-30850 в CHAOS v5.0.1 (XSS и RCE), а также CVE-2025-33053 в Windows, позволяющая выполнить произвольный код через некорректную обработку путей к ярлыкам.
Эти эксплойты позволяли как моментально внедрить вредоносный код, так и действовать поэтапно, начиная со сбора учётных данных.
Особого внимания заслуживают также недавно опубликованные уязвимости. CVE-2025-32433 — это RCE-баг в SSH-сервере фреймворка Erlang/OTP, допускающий удалённое выполнение команд без проверки даже от неавторизованных пользователей. CVE-2025-6218 — очередная directory traversal-уязвимость в WinRAR , схожая с CVE-2023-38831 : позволяет изменить путь распаковки архива и выполнить код при старте ОС или приложений. CVE-2025-3052 в UEFI позволяет обойти Secure Boot через небезопасную работу с переменными NVRAM. Уязвимость CVE-2025-49113 в Roundcube Webmail представляет собой классическую проблему небезопасной десериализации и требует авторизованного доступа. Наконец, CVE-2025-1533 в драйвере AsIO3.sys вызывает крах системы при работе с путями длиннее 256 символов — разработчики не учли, что современный лимит в NTFS составляет 32 767 символов.
Итог очевиден: число уязвимостей продолжает расти, особенно критических. Поэтому важно не только своевременно устанавливать обновления, но и следить за наличием C2-агентов на скомпрометированных системах, уделять внимание защите конечных устройств и выстраивать гибкую политику управления патчами. Только так можно эффективно снизить риски эксплуатации и обеспечить устойчивость инфраструктуры.
- Источник новости
- www.securitylab.ru
