Обнаружена опасная уязвимость в Windows Defender Firewall
Microsoft 9 декабря 2025 года официально объявила о выявленной критической уязвимости в службе Windows Defender Firewall Service — CVE-2025-62468. Данная ошибка позволяет пользователю с высокими привилегиями несанкционированно читать отдельные области оперативной памяти (heap memory).
Уязвимость относится к категории «Information Disclosure», то есть утечки конфиденциальной информации. Microsoft присвоила ей уровень важности Important и оценила по шкале CVSS на 4.4 балла.
В чём причина уязвимости?
Проблема вызвана ошибкой типа out-of-bounds read. В этом случае компонент Windows Defender Firewall Service может считывать участки памяти, которые ему не принадлежат.
- Злоумышленнику необходимы высокие привилегии.
- Вмешательство пользователя не требуется.
- Целостность и работоспособность системы не нарушаются, однако конфиденциальность данных может быть скомпрометирована.
Уязвимость трудно использовать удалённо, однако она представляет опасность внутри системы — для пользователей с расширенными правами или вредоносного ПО, получившего доступ к устройству.
Какие версии Windows подвержены уязвимости?
Microsoft выпустила обновления для следующих платформ:
- Windows Server 2025
- Windows Server 2022 (23H2 Core)
- Windows 11 23H2, 24H2, 25H2 (x64 и ARM64)
Обновления доступны через Windows Update и Microsoft Update Catalog. Для некоторых версий предусмотрены как стандартные патчи безопасности, так и security hotpatch.
Насколько серьёзна угроза?
CVE-2025-62468 имеет следующие характеристики:
- Локальный вектор атаки (требуется доступ к системе)
- Низкая сложность эксплуатации
- Требуются административные привилегии
- Нет необходимости во взаимодействии пользователя
Это означает, что уязвимость опасна в первую очередь для атакующих, уже сумевших получить доступ в систему.
Получив возможность читать данные из памяти, злоумышленник может:
- извлечь конфиденциальные фрагменты данных,
- получить токены,
- обходить механизмы аутентификации,
- облегчить дальнейшее продвижение внутри сети.
Практические рекомендации для администраторов
🔹 1. Немедленно установите обновления
Официальные обновления Microsoft полностью закрывают уязвимость. Откладывать их установку не рекомендуется.
🔹 2. Пересмотрите права администраторов
Удалите ненужные администраторские учётные записи. Соблюдайте принцип минимальных привилегий.
🔹 3. Усильте мониторинг
Отслеживайте:
- необычную активность администраторов,
- обращения к памяти,
- нестандартную работу службы firewall.
Настройте дополнительные правила в SIEM и EDR системах.
🔹 4. Проверьте возможность утечки данных
При появлении признаков риска незамедлительно запускайте процедуры реагирования на инциденты.
🔹 5. Защитите внутреннюю инфраструктуру
Даже если внешняя угроза невелика, внутри сети могут возникать вредоносные процессы. Регулярно проводите аудит закрытых сегментов.
CVE-2025-62468 — это уязвимость, позволяющая несанкционированно читать выбранные области памяти в службе Windows Defender Firewall. Хотя она не нарушает работу системы, существует риск утечки конфиденциальных данных.
Microsoft уже выпустила патчи, поэтому главное — оперативно установить обновления.
