CVE-2025-24984

Microsoft Windows

ВЕРОЯТНОСТЬ 4.4%
Дата обнаружения

2025-03-11

Официальное описание

Microsoft Windows New Technology File System (NTFS) contains an insertion of sensitive Information into log file vulnerability that allows an unauthorized attacker to disclose information with a physical attack. An attacker who successfully exploited this vulnerability could potentially read portions of heap memory.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-24984 представляет собой уязвимость в драйвере файловой системы NTFS (Microsoft Windows), связанную с некорректной обработкой данных при записи в лог-файлы (например, $LogFile).

Проблема заключается в «вставке конфиденциальной информации в лог-файл» (Insertion of Sensitive Information into Log File). При определенных операциях записи драйвер NTFS может непреднамеренно копировать фрагменты памяти кучи (heap memory) в метаданные файловой системы.

Поскольку эти данные сохраняются на физическом носителе, злоумышленник с физическим доступом к устройству может извлечь конфиденциальную информацию (пароли, ключи шифрования, токены сессий), которая находилась в оперативной памяти в момент записи лога, даже если система заблокирована или выключена.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (Patch Tuesday).

  1. Откройте «Параметры» (Settings) -> «Центр обновления Windows» (Windows Update).
  2. Нажмите «Проверить наличие обновлений» (Check for updates).
  3. Установите накопительный пакет обновления (Cumulative Update), выпущенный в феврале 2025 года или позже.

Для принудительного запуска поиска обновлений через терминал используйте:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать риск физического извлечения данных и ограничить доступ к низкоуровневым инструментам анализа диска.

  1. Включение полнодискового шифрования (BitLocker): Это критически важная мера, так как уязвимость требует физического доступа к диску. Шифрование предотвратит чтение лог-файлов NTFS без ключа доступа.
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -RecoveryPasswordProtector

  1. Ограничение доступа к инструментам дефрагментации и анализа диска: Запретите использование утилит, которые могут инициировать интенсивную запись в логи NTFS или чтение метаданных, для непривилегированных пользователей.

  2. Настройка очистки файла подкачки при выключении: Хотя уязвимость касается NTFS, очистка системных ресурсов при завершении работы снижает вероятность нахождения чувствительных данных в памяти, которые могут попасть в логи.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" -Name "ClearPageFileAtShutdown" -Value 1
  1. Физическая безопасность: Используйте политики ограничения доступа к портам ввода-вывода (USB) и обеспечьте физическую сохранность носителей информации.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей