CVE-2025-24990
Microsoft Windows
2025-10-14
Microsoft Windows Agere Modem Driver contains an untrusted pointer dereference vulnerability that allows for privilege escalation. An attacker who successfully exploited this vulnerability could gain administrator privileges.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2025-24990 относится к классу разыменования ненадежного указателя (Untrusted Pointer Dereference) и затрагивает драйвер модема Agere (Agere Modem Driver) в операционных системах Microsoft Windows.
Локальный злоумышленник может передать специально сформированный адрес памяти (указатель) из пользовательского пространства (User Mode) в драйвер, который функционирует в привилегированном режиме ядра (Kernel Mode).
Поскольку драйвер не выполняет строгую проверку и валидацию переданного указателя перед обращением к нему, это позволяет атакующему манипулировать памятью ядра.
Успешная эксплуатация приводит к локальному повышению привилегий (Local Privilege Escalation, LPE), в результате чего злоумышленник может выполнить произвольный код с правами NT AUTHORITY\SYSTEM и получить полный контроль над скомпрометированным узлом.
Как исправить
Основным и наиболее надежным методом устранения данной уязвимости является установка актуальных обновлений безопасности от Microsoft (Cumulative Updates), выпущенных в рамках соответствующего Patch Tuesday. Убедитесь, что ваши системы получают обновления через Windows Update, WSUS или Microsoft Endpoint Configuration Manager (SCCM). Для ручного поиска и установки всех доступных обновлений безопасности через PowerShell (с использованием модуля PSWindowsUpdate) выполните следующие команды от имени Администратора:
Установка модуля для управления обновлениями:
Install-Module -Name PSWindowsUpdate -Force
Запуск процесса установки обновлений с автоматической перезагрузкой (если потребуется):
Install-WindowsUpdate -AcceptAll -AutoReboot
Временные меры
Если немедленная установка патча невозможна (например, из-за необходимости тестирования обновлений в staging-среде), рекомендуется применить компенсирующие меры (Workarounds). Поскольку аппаратные модемы Agere являются устаревшим оборудованием и редко используются в современных корпоративных инфраструктурах, наиболее эффективным шагом будет полное отключение уязвимого драйвера и службы.
Отключение автоматического запуска службы драйвера модема (выполнять от имени Администратора):
sc.exe config agrmodem start= disabled
Остановка службы, если она уже загружена в память:
sc.exe stop agrmodem
В качестве дополнительной меры защиты можно программно отключить само PnP-устройство модема (если оно физически или виртуально присутствует в системе):
Get-PnpDevice -Class Modem | Where-Object {$_.FriendlyName -match "Agere"} | Disable-PnpDevice -Confirm:$false
Примечание: После применения временных мер рекомендуется перезагрузить систему, чтобы гарантировать выгрузку уязвимого кода из памяти ядра.