CVE-2025-12036 Уразливість: Нова критична експлуатація віддаленого виконання коду JavaScript у Chrome V8

Аналіз

CVE‑2025‑62215 є критичною вразливістю стану гонки в ядрі Windows, яка була виправлена ​​компанією Microsoft у випуску Patch Tuesday за листопад 2025 року. Цей недолік дозволяє зловмиснику з обмеженим локальним доступом експлуатувати стан «двічі виділення» у пам’яті ядра та підвищувати привілеї до SYSTEM. Оскільки вона активно експлуатується та впливає на всі підтримувані випуски ОС Windows (і ESU для Windows 10), організації стикаються з реальною загрозою повного компрометування системи.

Розслідування

Щоб розслідувати підвищену вразливість до CVE-2025-12036, команди безпеки повинні почати з картування всіх кінцевих точок, які використовують Chrome або інші браузери на основі Chromium. Запишуть версії браузерів на Windows, macOS і Linux, і позначають будь-які системи, що запускаються раніше, ніж версія Chrome 141.0.7390.122/.123, як потенційно вразливі. Далі, вони повинні корелювати непатчені кінцеві точки з періодами високоризикової діяльності перегляду, такої як доступ до ненадійних вебсайтів, недавні фішингові кампанії або підозрілі «водяні діри» домени. Оглядати телеметрію з EDR інструментів, журнальних розширень браузера, та логи проксі-сервера чи міжмережевого екрану для відвідувань підозрілих або нещодавно зареєстрованих доменів, що обслуговують важкий JavaScript, збої браузера або аномальну поведінку пісочниці, що можуть свідчити про спроби експлуатації, і незвичайні ланцюги процесів, що породжуються браузером, включаючи командні оболонки або механізми сценаріїв. Для поглиблення покриття використовуйте вміст виявлення з тегами CVE і запити на полювання в SIEM, EDR і Data Lakes і зіставляйте знахідки з техніками ATT&CK MITRE, такими як Drive-by Compromise і Exploitation for Client Execution.

Пом’якшення

Оскільки експлуатація CVE-2025-12036 тривіальна, як тільки користувач потрапляє на шкідливу сторінку, патчування має бути терміново. Усі браузери на основі Chrome і Chromium необхідно оновити щонайменше до Chrome 141.0.7390.122/.123 на Windows і macOS та 141.0.7390.122 на Linux з автоматичними оновленнями, ввімкнутими де це можливо. Команди безпеки повинні перевірити статус патча, направляючи користувачів або примусово через MDM, відвідати Налаштування → Про Chrome щоб браузер міг завантажити та застосувати останні виправлення. Однак у той же час зміцнюйте використання браузера шляхом впровадження найменших привілеїв на кінцевих точках, використанням фільтрації URL-адрес і безпечних веб-шлюзів для блокування відомих шкідливих або високоризикових доменів та включення захистів, таких як ізоляція сайтів і жорсткі політики розширення. Нарешті, інтегруйте CVE-2025-12036 у керування вразливостями, щоб швидко виявляти і виправляти будь-які новорозгорнуті або рідко використовувані системи зі застарілими версіями Chrome.

Реакція

Якщо ви підозрюєте, що CVE-2025-12036 був експлуатований у вашому середовищі, почніть з ізоляції уражених кінцевих точок від ненадійних мереж, залишаючи їх доступними для криміналістичного аналізу. Збережіть докази, включаючи образи пам’яті для браузера і пов’язаних процесів, системні і прикладні журнали (особливо звіти про збої Chrome і історію браузера), та мережеві знімки навколо підозрілого вікна експлуатації. Потім шукайте пост-експлуатаційну діяльність: незвичайні механізми постійності, такі як нові заплановані задачі або служби, підозрілі бінарні файли або скрипти, скинені після ризикованих сесій перегляду, і ознаки крадіжки облікових даних, такі як доступ до сховищ паролів, дамп токенів або аномальні події аутентифікації. Контейніруйте і усуньте, видаляючи шкідливі файли і артефакти постійності, і перевстановлюйте ризикові кінцеві точки при необхідності. Нарешті, відновіть і поліпшіть, обертаючи облікові дані, оновлюючи вміст виявлення для браузера/V8 RCE шаблонів, і інструктуючи користувачів і адміністраторів про ризики drive-by експлуатації і безпечні практики перегляду, пов’язані з CVE-2025-12036.