В Windows MMC обнаружена новая опасная уязвимость
В системе Microsoft Management Console (MMC) обнаружена новая уязвимость CVE-2025-26633, которая активно эксплуатируется российской хакерской группой Water Gamayun (также известной под названиями EncryptHub и Larva-208). Данная уязвимость позволяет злоумышленникам обойти механизмы безопасности Windows и выполнить вредоносный код.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) добавило эту уязвимость в каталог известных эксплуатируемых уязвимостей и рекомендовало федеральным агентствам устранить угрозу до 1 апреля 2025 года.
CVE-2025-26633 является уязвимостью нулевого дня в программном обеспечении Microsoft Management Console (MMC). Хакеры используют эту уязвимость, манипулируя .msc-файлами и функцией Multilingual User Interface Path (MUIPath). Это позволяет им запускать вредоносный код с правами администратора в системе Windows.
По словам исследователя Trend Micro Алиакбара Захрави, группа Water Gamayun использует метод «MSC EvilTwin» для эксплуатации уязвимости. Этот метод позволяет маскировать вредоносные программы под легитимные инструменты управления системой.
Эксплуатация CVE-2025-26633 может привести к следующим угрозам:
✅ Размещение вредоносного ПО – в систему могут быть установлены шифровальщики (ransomware) или шпионские программы.
✅ Кража данных – конфиденциальные документы, пароли и другая информация могут попасть в руки злоумышленников.
✅ Распространение в сети – хакеры могут перемещаться между компьютерами в локальной сети, захватывая всю инфраструктуру.
✅ Долгосрочный контроль – злоумышленники могут скрытно управлять системой в течение длительного времени.
О серьезности этой угрозы говорит тот факт, что в мартовском обновлении Patch Tuesday Microsoft устранила не только CVE-2025-26633, но и шесть других уязвимостей «нулевого дня», которые уже использовались хакерами.
Чтобы защититься от угроз, связанных с CVE-2025-26633, необходимо выполнить следующие меры безопасности:
1️⃣ Установите обновления системы
Срочно установите последние обновления безопасности от Microsoft. Это особенно важно, если в вашей сети используется удаленное управление через MMC.
🔗 Обновления безопасности Microsoft
2️⃣ Ограничьте доступ к MMC через сеть
Ограничьте или полностью отключите сетевой доступ к портам MMC. Это усложнит хакерам возможность перемещения по сети.
3️⃣ Ограничьте права пользователей
Минимизируйте количество пользователей с правами администратора и проводите аудит использования MMC. Разрешайте доступ только в случае необходимости.
4️⃣ Настройте мониторинг и анализ безопасности
Активируйте системы мониторинга безопасности и отслеживайте подозрительную активность MMC и аномальные процессы.
5️⃣ Отключите удаленный доступ к MMC
Если немедленное обновление системы невозможно, рекомендуется временно отключить удаленный доступ к MMC. Однако это может повлиять на некоторые IT-процессы.
Уязвимость CVE-2025-26633 представляет серьезную угрозу для кибербезопасности, и она уже активно используется хакерами. Организации и пользователи могут эффективно защититься от этой уязвимости, устанавливая обновления, ограничивая доступ к MMC и усиливая мониторинг безопасности.
🔴 Помните! Для обеспечения безопасности всегда своевременно устанавливайте обновления и ограничивайте права пользователей. Пока хакеры совершенствуют свои методы, мы должны укреплять свою защиту!
