CVE-2025-21335

Microsoft Windows

ВЕРОЯТНОСТЬ 8.7%
Дата обнаружения

2025-01-14

Официальное описание

Microsoft Windows Hyper-V NT Kernel Integration VSP contains a use-after-free vulnerability that allows a local attacker to gain SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-21335 представляет собой критическую уязвимость типа Use-After-Free (использование памяти после освобождения) в компоненте NT Kernel Integration VSP (Virtual Service Provider) гипервизора Microsoft Hyper-V.

Проблема возникает при некорректной обработке объектов в памяти во время взаимодействия между гостевой ОС и хостом через шину VMBus. Локальный злоумышленник, уже имеющий доступ к системе с низкими привилегиями, может эксплуатировать этот баг для выполнения произвольного кода в контексте ядра (Kernel mode). Это приводит к полному захвату контроля над системой и повышению привилегий до уровня NT AUTHORITY\SYSTEM.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от февраля 2025 года (Patch Tuesday).

  1. Проверьте наличие обновлений через Windows Update или установите их вручную из каталога Microsoft Update.

  2. Для автоматической проверки и установки через PowerShell:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -KBArticleID KB5047144 -Install -AcceptAll -AutoReboot

(Примечание: Номер KB может варьироваться в зависимости от версии Windows. Для Windows 11 23H2/24H2 актуальны накопительные пакеты за февраль 2025).

  1. Проверка версии билда ОС для подтверждения установки патча:
Get-ComputerInfo | select WindowsVersion, OsBuildNumber

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие компенсационные меры для снижения поверхности атаки:

  1. Ограничение использования Hyper-V: Если роль Hyper-V не является критически важной на конкретных рабочих станциях, ее следует отключить:
Disable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All

  1. Изоляция виртуальных машин: Минимизируйте количество пользователей, имеющих права на управление виртуальными машинами и доступ к консоли Hyper-V.

  2. Мониторинг подозрительной активности: Настройте аудит создания процессов и отслеживайте попытки эксплуатации через системные вызовы, специфичные для VMBus. Используйте Sysmon для обнаружения аномального поведения системных процессов, взаимодействующих с ядром.

  3. Применение политик AppLocker/WDAC: Ограничьте запуск недоверенного кода, который может быть использован как вектор для локального повышения привилегий (LPE).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей