CVE-2025-24054

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-04-17

Официальное описание

Microsoft Windows NTLM contains an external control of file name or path vulnerability that allows an unauthorized attacker to perform spoofing over a network.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-24054 представляет собой уязвимость в протоколе Microsoft Windows NTLM, связанную с недостаточным контролем путей к файлам или имен файлов (External Control of File Name or Path). Злоумышленник, не имеющий прав администратора, может использовать специально сформированные сетевые запросы для подмены данных (spoofing).

Проблема заключается в том, как NTLM обрабатывает внешние входные данные при обращении к ресурсам. Это позволяет атакующему перенаправить аутентификационный трафик или манипулировать путями, что в конечном итоге может привести к захвату сессии или несанкционированному доступу к ресурсам в рамках сетевой инфраструктуры.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (Patch Tuesday).

  1. Запустите поиск и установку обновлений через Windows Update:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

  1. Если требуется ручная установка, скачайте соответствующий KB-пакет для вашей версии ОС из каталога обновлений Microsoft (Microsoft Update Catalog), ориентируясь на релизы от февраля 2025 года.

  2. Проверьте версию установленного билда ОС, чтобы убедиться, что исправление применено:

winver

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать риски с помощью настроек безопасности NTLM и сетевого экранирования.

  1. Ограничьте использование NTLM в доменной среде, принудительно перейдя на Kerberos. Настройте групповую политику (GPO): Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM

  2. Включите подписывание SMB (SMB Signing) для предотвращения атак типа "человек посередине" (MitM):

Set-SmbServerConfiguration -RequireSecuritySignature $true -Force
  1. Настройте Extended Protection for Authentication (EPA) на критических сервисах (например, IIS или AD CS):
Import-Module WebAdministration
Set-WebConfigurationProperty -Filter "system.webServer/security/authentication/windowsAuthentication" -Name "extendedProtection.tokenChecking" -Value "Required"
  1. Заблокируйте исходящий трафик по портам 139 и 445 на внешних периметрах сети, чтобы предотвратить утечку NTLM-хешей за пределы организации.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей