CVE-2025-21334

Microsoft Windows

ВЕРОЯТНОСТЬ 6.6%
Дата обнаружения

2025-01-14

Официальное описание

Microsoft Windows Hyper-V NT Kernel Integration VSP contains a use-after-free vulnerability that allows a local attacker to gain SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-21334 представляет собой критическую уязвимость типа Use-After-Free (использование памяти после освобождения) в компоненте Microsoft Windows Hyper-V NT Kernel Integration VSP (Virtual Service Provider).

Проблема локализована в механизме взаимодействия между гостевой ОС и хостом через шину VMBus. Локальный злоумышленник, имеющий доступ к гостевой виртуальной машине или низкопривилегированный доступ в основной системе, может отправить специально сформированный запрос к драйверу интеграции. Это приводит к некорректному управлению объектами в памяти ядра. В результате атакующий может выполнить произвольный код с правами ядра (Ring 0) и полностью скомпрометировать хостовую систему, получив привилегии уровня SYSTEM.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от февраля 2025 года (Patch Tuesday).

  1. Проверьте наличие обновлений через Windows Update:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -KBArticleID KB5049248, KB5049249

(Примечание: Номера KB могут варьироваться в зависимости от версии Windows Server или Windows 10/11. Рекомендуется установить все накопительные обновления за февраль 2025 года).

  1. Для принудительного поиска обновлений через штатную утилиту:
UsoClient StartScan
  1. После установки обновлений обязательна перезагрузка системы для обновления файлов ядра и драйверов Hyper-V:
Restart-Computer -Force

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие меры для снижения поверхности атаки:

  1. Отключите неиспользуемые службы интеграции Hyper-V для критических ВМ:
Disable-VMIntegrationService -VMName "Имя_ВМ" -Name "Guest Service Interface"
  1. Ограничьте права локальных пользователей. Уязвимость требует возможности запуска локального кода, поэтому соблюдение принципа наименьших привилегий (LUA) и использование AppLocker/Windows Defender Application Control (WDAC) затруднит доставку эксплойта:
Set-AppLockerPolicy -XmlPolicy C:\Policies\StrictPolicy.xml

  1. Изолируйте виртуальные машины, в которых запущен потенциально опасный код, используя режим "Isolated" и минимизируя количество общих ресурсов с хостом.

  2. Мониторинг системных журналов на предмет аномальной активности драйверов Hyper-V (VMBus):

Get-WinEvent -LogName System | Where-Object { $_.ProviderName -eq "Microsoft-Windows-Hyper-V-VMBus" }
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей