CVE-2025-26633

Microsoft Windows

ВЕРОЯТНОСТЬ 7.8%
Дата обнаружения

2025-03-11

Официальное описание

Microsoft Windows Management Console (MMC) contains an improper neutralization vulnerability that allows an unauthorized attacker to bypass a security feature locally.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-26633 представляет собой уязвимость в консоли управления Microsoft (MMC), связанную с недостаточной нейтрализацией входных данных. Уязвимость позволяет локальному злоумышленнику обойти механизмы безопасности системы.

Основная проблема заключается в том, как MMC обрабатывает специфические файлы консоли (.msc). Атакующий может подготовить вредоносный файл конфигурации, который при открытии пользователем с высокими привилегиями позволит выполнить произвольный код или обойти ограничения политики безопасности (например, AppLocker или Windows Defender Application Control), используя доверенный контекст процесса mmc.exe.

Как исправить

Основным и единственным надежным способом устранения данной уязвимости является установка официальных обновлений безопасности от Microsoft (Patch Tuesday, февраль 2025).

  1. Проверьте наличие обновлений через Центр обновления Windows:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -KBArticleID 'KB5049247'

(Примечание: Номер KB может варьироваться в зависимости от версии Windows. Рекомендуется установить все накопительные обновления за февраль 2025 года).

  1. Для серверных сред (Windows Server) используйте установку через SCode:
sconfig
  1. Проверка версии установленного компонента:
Get-Item "C:\Windows\System32\mmc.exe" | Select-Object VersionInfo

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать векторы атаки:

  1. Ограничьте использование MMC только для администраторов и запретите запуск консоли обычным пользователям через AppLocker или Software Restriction Policies.

  2. Настройте аудит создания процессов, чтобы отслеживать подозрительные дочерние процессы mmc.exe:

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable

  1. Заблокируйте возможность открытия файлов .msc из потенциально опасных расположений (например, папки загрузок или временных директорий браузера) с помощью правил Attack Surface Reduction (ASR).

  2. Используйте PowerShell для поиска подозрительных .msc файлов в пользовательских директориях:

Get-ChildItem -Path C:\Users\ -Filter *.msc -Recurse -ErrorAction SilentlyContinue
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей