CVE-2025-24993

Microsoft Windows

ВЕРОЯТНОСТЬ 1.5%
Дата обнаружения

2025-03-11

Официальное описание

Microsoft Windows New Technology File System (NTFS) contains a heap-based buffer overflow vulnerability that allows an unauthorized attacker to execute code locally.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-24993 представляет собой критическую уязвимость типа Heap-based Buffer Overflow (переполнение буфера в куче) в драйвере файловой системы NTFS (ntfs.sys).

Проблема возникает из-за некорректной обработки метаданных или специфических атрибутов файлов при выполнении системных вызовов. Локальный злоумышленник с низким уровнем привилегий может отправить специально сформированный запрос к файловой системе, что приведет к записи данных за пределы выделенного буфера в памяти ядра. Это позволяет добиться исполнения произвольного кода с правами SYSTEM, что ведет к полному захвату контроля над операционной системой.

Как исправить

Основным и единственным надежным способом устранения данной уязвимости является установка официальных обновлений безопасности от Microsoft (Patch Tuesday).

  1. Откройте «Параметры» -> «Обновление и безопасность» -> «Центр обновления Windows».
  2. Нажмите «Проверить наличие обновлений».
  3. Установите накопительный пакет обновления (Cumulative Update), выпущенный в феврале 2025 года или позже.

Для принудительного запуска поиска обновлений через терминал используйте следующие команды:

Install-Module PSWindowsUpdate -Force


Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Для проверки версии драйвера ntfs.sys и убеждения в том, что патч применен:

Get-Item C:\Windows\System32\drivers\ntfs.sys | Select-Object VersionInfo

Временные меры

Если немедленная установка обновлений невозможна, необходимо минимизировать поверхность атаки и ограничить возможности локального запуска вредоносного кода.

  1. Ограничение доступа к инструментам разработки и отладки: Удалите или ограничьте доступ к компиляторам и скриптовым интерпретаторам для обычных пользователей, чтобы затруднить доставку и запуск эксплойта.

  2. Включение VBS (Virtualization-Based Security) и HVCI: Использование целостности памяти (Memory Integrity) помогает предотвратить внедрение кода в ядро даже при наличии переполнения буфера.

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
  1. Настройка аудита доступа к объектам: Включите расширенный аудит для отслеживания подозрительной активности процессов, пытающихся взаимодействовать с системными драйверами.
auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable
  1. Использование AppLocker или Windows Defender Application Control (WDAC): Настройте политики белых списков для запрета запуска недоверенных исполняемых файлов, которые могут содержать код эксплойта.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей