CVE-2025-24985

Microsoft Windows

ВЕРОЯТНОСТЬ 1.1%
Дата обнаружения

2025-03-11

Официальное описание

Microsoft Windows Fast FAT File System Driver contains an integer overflow or wraparound vulnerability that allows an unauthorized attacker to execute code locally.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-24985 представляет собой критическую уязвимость в драйвере файловой системы Fast FAT (fastfat.sys) операционной системы Microsoft Windows. Проблема классифицируется как целочисленное переполнение (Integer Overflow) или циклическое переполнение (Wraparound).

Уязвимость возникает при некорректной обработке специально сформированных метаданных файловой системы FAT. Локальный злоумышленник, не обладающий высокими привилегиями, может спровоцировать ошибку вычисления размера буфера, что приводит к повреждению памяти ядра. В худшем сценарии это позволяет выполнить произвольный код с правами SYSTEM, полностью скомпрометировав целевой узел.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (Patch Tuesday, февраль 2025).

  1. Проверьте наличие обновлений через Центр обновления Windows:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

  1. Если вы используете Windows Server Update Services (WSUS) или MECM, убедитесь, что пакеты обновлений для вашей версии ОС (Windows 10, 11 или Windows Server 2016-2022) одобрены и установлены.

  2. Проверьте версию драйвера fastfat.sys после установки патча (версия должна быть обновлена):

Get-Item C:\Windows\System32\drivers\fastfat.sys | Select-Object VersionInfo

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие компенсационные меры для снижения вектора атаки:

  1. Ограничьте использование съемных носителей (USB-флешки, SD-карты), использующих файловые системы FAT/FAT32, с помощью групповых политик (GPO):
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices" -Name "Deny_All" -Value 1

  1. Настройте аудит доступа к объектам и отслеживайте попытки монтирования подозрительных томов.

  2. Используйте AppLocker или Windows Defender Application Control (WDAC), чтобы запретить запуск недоверенного кода, который может быть использован для эксплуатации уязвимости в локальном сеансе.

  3. Внедрите принцип минимальных привилегий (LUA), чтобы ограничить возможности злоумышленника по доставке эксплойта на систему.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей