Уязвимость «wormable» в Windows LDAP позволяет злоумышленникам удаленно выполнять код
В последнее время специалисты по кибербезопасности выявили критическую уязвимость в реализации Lightweight Directory Access Protocol (LDAP) в операционной системе Windows. Эта уязвимость, обозначенная как CVE-2025-21376, позволяет злоумышленникам удаленно выполнять произвольный код. Наибольшую опасность она представляет из-за своего «wormable» характера, то есть способности автоматически распространяться по сетям.
Данная уязвимость была официально раскрыта компанией Microsoft 11 февраля 2025 года и классифицируется как Remote Code Execution (RCE). Это означает, что атакующий может воспользоваться уязвимостью без какого-либо взаимодействия с пользователем и без необходимости обладания повышенными привилегиями.
Уязвимость связана с несколькими проблемами, включающими в себя:
✅ CWE-362 – Race Condition: Ошибки синхронизации между процессами могут приводить к возникновению уязвимости.
✅ CWE-191 – Integer Underflow: Некорректная обработка чисел позволяет атакующему вызвать непредсказуемые результаты работы системы.
✅ CWE-122 – Heap-Based Buffer Overflow: Переполнение буфера в динамической памяти, которое может привести к выполнению произвольного кода.
Злоумышленник может эксплуатировать эту уязвимость, отправив специально сформированный запрос на уязвимый LDAP-сервер. При успешной атаке происходит переполнение буфера, что может использоваться для удаленного выполнения кода.
Согласно Common Vulnerability Scoring System (CVSS), данная уязвимость получила базовый рейтинг 8.1 (критическая) и временный рейтинг 7.1.
По оценке специалистов Microsoft, атака обладает следующими характеристиками:
📌 Вектор атаки – сеть (AV:N – Attack Vector: Network).
📌 Сложность атаки – высокая (AC:H – Attack Complexity: High).
📌 Привилегии не требуются (PR:N – Privileges Required: None).
📌 Взаимодействие с пользователем не требуется (UI:N – User Interaction: None).
📌 Серьезные последствия для системы:
➡️ Конфиденциальность под угрозой (Confidentiality: High).
➡️ Целостность данных может быть нарушена (Integrity: High).
➡️ Доступность системы может быть серьезно ограничена (Availability: High).
На данный момент публично доступного эксплойта не существует, однако эксперты считают, что вероятность его появления очень высока. Это связано с «wormable» природой уязвимости, позволяющей ей автоматически распространяться в сети без участия пользователя.
Если данная уязвимость будет использована в атаках, она может быстро распространиться в локальных и глобальных сетях, вызывая значительные повреждения инфраструктуры. Именно поэтому необходимо принять срочные меры для защиты.
Компания Microsoft выпустила исправления в рамках февральского обновления безопасности (Patch Tuesday, февраль 2025 года). Уязвимость затрагивает следующие версии Windows:
🔹 Windows Server 2019
🔹 Windows 10 Version 1809
Чтобы защититься от этой угрозы, пользователям рекомендуется предпринять следующие шаги:
✅ Немедленно установить последние обновления безопасности. Microsoft уже выпустила патчи, устраняющие уязвимость.
✅ Мониторинг и аудит LDAP-серверов. Необходимо регулярно анализировать журналы событий и сетевой трафик для выявления подозрительной активности.
✅ Ограничение или отключение ненужных сетевых сервисов. Если LDAP используется только во внутренних сетях, следует запретить доступ к нему из Интернета.
✅ Принцип минимальных привилегий. Не предоставлять пользователям и сервисам прав, которые им не нужны.
Выявленная уязвимость CVE-2025-21376 в Windows LDAP представляет серьезную угрозу для информационной безопасности. Она может позволить злоумышленникам удаленно выполнять произвольный код, захватывать контроль над системой и автоматически распространяться по сети.
Поэтому все организации и пользователи должны незамедлительно установить исправления от Microsoft. Киберпреступники оперативно используют подобные уязвимости для атак, поэтому регулярное обновление систем и усиление защиты — критически важные меры.
🔹 Кибербезопасность требует внимательности и быстрой реакции. Не оставляйте свои системы уязвимыми!
