CVE-2025-30400

Microsoft Windows

ВЕРОЯТНОСТЬ 1.0%
Дата обнаружения

2025-05-13

Официальное описание

Microsoft Windows DWM Core Library contains a use-after-free vulnerability that allows an authorized attacker to elevate privileges locally.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-30400 представляет собой критическую уязвимость типа Use-After-Free (UAF) в библиотеке DWM Core Library (Desktop Window Manager) операционной системы Microsoft Windows.

Проблема возникает из-за некорректного управления жизненным циклом объектов в памяти при обработке графических ресурсов. Локальный авторизованный злоумышленник может манипулировать состоянием памяти так, чтобы обратиться к объекту после его освобождения. Это позволяет выполнить произвольный код с правами SYSTEM, полностью скомпрометировав целевую хостовую систему.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (Patch Tuesday).

  1. Проверьте наличие обновлений через Windows Update:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

  1. Если вы используете Windows Server Update Services (WSUS) или MECM, убедитесь, что одобрены и развернуты кумулятивные обновления за соответствующий месяц (февраль/март 2025 в зависимости от цикла выпуска).

  2. Проверка версии установленной библиотеки dwmcore.dll (версия должна быть выше уязвимой):

(Get-Item $env:SystemRoot\System32\dwmcore.dll).VersionInfo.FileVersion

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать векторы атаки и усилить мониторинг.

  1. Ограничение доступа к интерактивным сессиям: Поскольку уязвимость требует локального доступа, ограничьте права на вход через RDP и физический доступ к критически важным серверам.

  2. Настройка аудита процессов: Включите расширенный аудит создания процессов, чтобы отслеживать аномальное поведение dwm.exe.

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable

  1. Использование правил Attack Surface Reduction (ASR): Заблокируйте возможность создания дочерних процессов для системных компонентов, если это применимо в вашей инфраструктуре.

  2. Мониторинг подозрительной активности: Настройте SIEM-систему на поиск событий аварийного завершения процесса dwm.exe (Event ID 1000, Application Error), что может свидетельствовать о попытках эксплуатации (heap spraying или memory corruption).

Get-EventLog -LogName Application -Source "Application Error" | Where-Object { $_.Message -like "*dwm.exe*" }
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей