CVE-2025-24991

Microsoft Windows

ВЕРОЯТНОСТЬ 0.7%
Дата обнаружения

2025-03-11

Официальное описание

Microsoft Windows New Technology File System (NTFS) contains an out-of-bounds read vulnerability that allows an authorized attacker to disclose information locally.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-24991 представляет собой уязвимость чтения за пределами границ (Out-of-bounds Read) в драйвере файловой системы NTFS (New Technology File System) операционной системы Microsoft Windows.

Проблема возникает из-за некорректной обработки метаданных или специфических атрибутов файлов при выполнении системных вызовов. Авторизованный злоумышленник с низким уровнем привилегий может запустить специально подготовленное приложение для доступа к участкам памяти ядра, которые должны быть изолированы. Это приводит к раскрытию конфиденциальной информации (Information Disclosure), что в дальнейшем может быть использовано для обхода механизмов защиты (например, KASLR) и подготовки векторов для повышения привилегий (LPE).

Как исправить

Основным и единственным надежным способом устранения данной уязвимости является установка официальных обновлений безопасности от Microsoft (Patch Tuesday, февраль 2025).

  1. Проверьте наличие обновлений через Центр обновления Windows:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

  1. Если вы используете Windows Server Update Services (WSUS) или Microsoft Endpoint Configuration Manager (MECM), убедитесь, что пакеты обновлений за февраль 2025 года одобрены и развернуты на конечных точках.

  2. Проверка версии установленного билда (убедитесь, что номер сборки соответствует исправленной версии для вашей редакции ОС):

Get-ComputerInfo | select WindowsProductName, WindowsVersion, OsBuildNumber

Временные меры

Поскольку уязвимость находится на уровне драйвера файловой системы NTFS, полноценных обходных путей (workarounds) без изменения кода ядра не существует. Однако для снижения рисков рекомендуется выполнить следующие действия:

  1. Ограничьте возможность запуска недоверенного кода и скриптов на критически важных узлах, используя AppLocker или Windows Defender Application Control (WDAC).

  2. Примените принцип минимальных привилегий (PoLP), чтобы минимизировать количество пользователей с локальным доступом к системе.

  3. Настройте аудит доступа к объектам и отслеживайте подозрительную активность процессов:

auditpol /set /subcategory:"File System" /success:enable /failure:enable
  1. Изолируйте критические системы от прямого интерактивного входа пользователей, если это не требуется для выполнения бизнес-задач.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей