В июньский выпуск обновлений безопасности Microsoft, выпущенный в рамках традиционного Patch Tuesday, вошли исправления для 66 уязвимостей. Из них одна уже активно эксплуатировалась злоумышленниками, а другая была публично раскрыта до выхода официального исправления. Кроме того, десять уязвимостей были классифицированы как критические — восемь из них позволяют удалённое выполнение кода, а две связаны с повышением привилегий.
Одной из самых опасных проблем, исправленных в этом месяце, стала уязвимость CVE-2025-33053 в компоненте Web Distributed Authoring and Versioning (WEBDAV) Windows. Она позволяла удалённому злоумышленнику выполнить произвольный код на целевой системе, если пользователь переходил по специально созданной ссылке WebDAV.
Уязвимость была обнаружена командой Check Point Research, которая сообщила, что атака происходила через манипуляции с рабочим каталогом встроенного инструмента Windows. В марте 2025 года через эту брешь была предпринята попытка кибератаки на оборонную компанию в Турции, за которой, по данным исследователей, стояла APT -группа Stealth Falcon. Microsoft официально присвоила уязвимости идентификатор CVE-2025-33053 и включила её в список обновлений 10 июня 2025 года. Авторами обнаружения указаны Александра Гофман и Давид Дрикер из Check Point Research.
Вторая уязвимость, CVE-2025-33073 , касается клиента SMB в Windows и была публично раскрыта до выпуска обновления. Она позволяет авторизованному злоумышленнику получить права SYSTEM через сетевое взаимодействие. Проблема заключается в неправильной реализации контроля доступа в протоколе SMB, из-за чего возможно принудить уязвимую машину подключиться к атакующему серверу и пройти аутентификацию.
Microsoft не раскрывает, кто именно опубликовал детали этой уязвимости, однако, согласно публикации Born City, DFN-CERT распространил предупреждение от компании RedTeam Pentesting за несколько дней до выхода обновления. Временной мерой защиты может быть принудительное включение SMB-подписи на сервере через групповую политику.
Еще одна исправленная уязвимость — CVE-2025-3052 не является критической и не относится к категории 0-day, однако ее можно назвать одной из важнейших в этом месяце.
Этот баг был обнаружен генеральным директором и основателем компании Binarly Алексом Матросовым, когда тот нашел в сети утилиту для перепрошивки BIOS, подписанную UEFI-сертификатом Microsoft. Исходно эта утилита предназначалась для защищенных планшетов DT Research, но поскольку она была подписана сертификатом Microsoft, ее можно было применить для любой системы с поддержкой Secure Boot.
Дальнейшее расследование показало, что этот инструмент циркулировал в сети как минимум с конца 2022 года, а затем был загружен на VirusTotal в 2024 году, где его и обнаружил исследователь.
Представители Binarly уведомили о проблеме CERT/CC еще в феврале 2025 года, и в этом месяце Microsoft устранила CVE-2025-3052. Причем в ходе изучения проблемы Microsoft обнаружила еще 13 вариантов инструмента DT Research, хеши которых в итоге были добавлены в черный список DBX (БД, в которой перечислены модули, которые были отозваны или утратили доверие по иным причинам).
Как объясняют исследователи, эта утилита считывает доступную для записи пользователем переменную NVRAM (IhisiParamBuffer) без валидации. Если злоумышленник обладает правами администратора, он может изменить эту переменную таким образом, чтобы произвольные данные записывались в ячейки памяти во время процесса загрузки UEFI. Напомним, что это происходит еще до загрузки операционной системы или ядра.
Эксперты Binarly подготовили эксплоит для CVE-2025-3052, который обнуляет глобальную переменную gSecurity2, которая используется для обеспечения работы Secure Boot.
«Для нашего PoC мы решили перезаписать глобальную переменную gSecurity2, — объясняют специалисты. — Эта переменная содержит указатель для Security2 Architectural Protocol, который функция LoadImage использует для принудительного запуска Secure Boot. Обнуляя ее, мы фактически отключаем Secure Boot и можем запускать любые неподписанные UEFI-модули».
Таким образом, злоумышленники могли использовать уязвимость для установки буткитов, которые оставались бы скрытыми от операционной системы и позволяли отключать и другие защитные механизмы.
«Это открытие наглядно демонстрирует, как ошибка одного поставщика может отразиться на всей цепочке поставок UEFI, и почему лидирующие организации вкладывают средства в постоянное сканирование двоичного кода и быстрое развертывание dbx, а не полагаются на ритуал “безопасного обновления BIOS”, который проводится раз в год», — комментирует Алекс Матросов.
Помимо обновлений от Microsoft, в июне свои бюллетени выпустили и другие крупные разработчики.
Adobe закрыла уязвимости в продуктах InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader и Substance 3D Painter.
Google в июньском пакете безопасности для Android устранила несколько уязвимостей, включая активно эксплуатируемый нулевой день в браузере Chrome. Hewlett Packard Enterprise выпустила обновления безопасности для восьми уязвимостей в решении StoreOnce, а Ivanti закрыла три уязвимости с жёстко зашитыми ключами в продукте Workspace Control (IWC).
Отдельного внимания заслуживает отчёт Qualcomm, в котором сообщается об устранении трёх нулевых дней в драйвере графического процессора Adreno, использовавшихся в целевых атаках.
Также было выпущено исправление для критической уязвимости в почтовом клиенте Roundcube, позволяющей удалённое выполнение кода и уже активно эксплуатируемой злоумышленниками.
SAP обновила множество продуктов, включая устранение критической проблемы отсутствия проверки авторизации в SAP NetWeaver Application Server for ABAP.
Обновления июня демонстрируют высокую активность киберугроз и необходимость оперативной установки заплат для защиты систем, особенно учитывая активную эксплуатацию сразу нескольких уязвимостей нулевого дня.
С заботой о вашей безопасности, команда Origin Security
