CVE-2025-62215: Звіт SOC про нульову вразливість ядра Windows

Аналіз

CVE‑2025‑62215 — це критична уразливість типу race‑condition у ядрі Windows, яку виправила компанія Microsoft у своєму листопадовому випуску Patch Tuesday 2025 року. SOC Prime Уразливість дозволяє атакуючому з низькими привілеями локального доступу експлуатувати умову «подвійного звільнення» в пам’яті ядра та підвищувати привілеї до рівня SYSTEM. SOC Prime Оскільки вона активно експлуатується і впливає на всі підтримувані версії Windows OS (та ESU для Windows 10), організації стикаються з реальним ризиком повного компроментації системи.

Розслідування

Дослідники безпеки виявили, що уразливість виникає через race condition, коли кілька потоків звертаються до одного ресурсу ядра без належної синхронізації, що призводить до сценарію пошкодження пам’яті ядра («подвійне звільнення»), який дозволяє атакуючим захопити контроль за виконанням. Хоча початковий доступ має бути присутнім (наприклад, через фішинг або ранній RCE), експлойт потім використовується для підвищення привілеїв, збору облікових даних та сприяння латеральному переміщенню. Оскільки експлойт простий у концепції, але потужний у наслідках, вже відмічено, що він використовується в природі.

Пом’якшення

Організації повинні негайно застосувати патч Microsoft, що усуває CVE‑2025‑62215 негайно. Крім того, зменшіть ризик початкових вторгнень шляхом введення політики мінімальних привілеїв для користувачів, відключення непотрібних прав локальних адміністраторів та моніторингу незвичайної поведінки при підвищенні привілеїв. Захисники повинні розгорнути правила виявлення на кінцевих точках, спрямовані на виявлення пошкодження пам’яті або незвичайного створення процесів з облікових записів сервісів ядра. Враховуючи рівень ядра уразливості, критично важливо підтримувати надійну дисципліну патчів і використовувати багаторівневий захист (наприклад, EDR, перевірку цілісності ядра).

Відповідь

Якщо підозрюється, що ваш середовище експлуатувало цю уразливість, ізолюйте потенційно вражені хости, перегляньте нещодавні локальні входи в систему та заходи підвищення привілеїв, та шукайте ознаки підробки токенів або запуску процесів на рівні SYSTEM. За необхідності повторно образіть вражені пристрої та змініть облікові дані для облікових записів, які могли бути скомпрометовані. Повідомляйте деталі інциденту вашій команді операцій безпеки та оновлюйте свої сценарії виявлення/полювання, щоб включити ланцюг експлуатації цієї уразливості (початковий доступ → локальний експлойт → підвищення привілеїв ядра). Нарешті, переконайтеся, що майбутні цикли патчів включають перевірку встановлення та моніторинг повторних спроб експлуатації.