Опубликована 0-дневная уязвимость в Windows, позволяющая получить SYSTEM-привилегии

9 декабря 2025 года компания Microsoft объявила о выпуске срочных обновлений безопасности для устранения критической 0-дневной уязвимости CVE-2025-62221, обнаруженной в Windows. Данная уязвимость была выявлена в драйвере ядра Cloud Files Mini Filter Driver (cldflt.sys) и позволяет злоумышленникам повысить привилегии от обычного пользователя до уровня SYSTEM.

Microsoft официально подтвердила, что данная уязвимость «активно эксплуатируется хакерами», то есть уже используется в реальных атаках.

В чём суть уязвимости?

cldflt.sys — это системный драйвер Windows, отвечающий за работу с облачными хранилищами, такими как OneDrive. Он обеспечивает отображение облачных файлов в виде «placeholder»-элементов, позволяя системе показывать файл локально, даже если его содержимое ещё не загружено.

Уязвимость вызвана ошибкой управления памятью типа Use-After-Free. Злоумышленник может:

  • войти в систему как локальный низкоуровневый пользователь,
  • инициировать ошибку в драйвере,
  • вызвать состояние некорректного управления памятью,
  • и в результате выполнить произвольный код с привилегиями уровня SYSTEM.

Это крайне опасно, поскольку SYSTEM — это высший уровень доступа в Windows, практически без ограничений.

Кто находится в зоне риска?

Уязвимость затрагивает широкий спектр версий Windows, включая:

  • Windows 11 (23H2, 24H2, 25H2)
  • Windows 10 (22H2, 21H2, 1809)
  • Windows Server 2019, 2022, 2025

Microsoft уже выпустила соответствующие обновления KB. Администраторам необходимо проверить свои устройства по номерам KB и убедиться в установке патчей.

Как используется уязвимость в атаках?

Данная уязвимость не предоставляет возможности удалённой атаки — злоумышленник должен сначала получить доступ к системе. Однако если:

  • на устройство попало вредоносное ПО,
  • появились неизвестные учётные записи,
  • злоумышленник получил доступ к сети,

то CVE-2025-62221 используется как уязвимость второго этапа. То есть после проникновения хакер повышает свои привилегии, отключает защитные механизмы, устанавливает бэкдоры и закрепляется в системе.

Поэтому уязвимость особенно привлекательна для APT-групп, автоматизированных вредоносных программ и ботнетов.

Практические рекомендации администраторам

1. Немедленно установите обновления

Единственная надёжная защита от CVE-2025-62221 — официальный патч от Microsoft. Временных решений (workaround) нет.

2. Ограничьте локальный доступ

Поскольку злоумышленнику необходим локальный вход:

  • удалите ненужные учётные записи,
  • используйте сильные пароли или MFA,
  • ограничьте RDP и другие каналы доступа.

3. Усильте мониторинг в EDR/антивирусе

Отслеживайте повышение привилегий, неизвестные процессы и подозрительную активность драйверов.

4. Анализируйте журналы безопасности

Проверяйте Security, System и Application логи на предмет необычных входов, запусков служб или попыток привилегированного доступа.

5. Будьте готовы к инцидентам

Убедитесь в актуальности резервных копий, планов аварийного восстановления и процедур реагирования на инциденты.

CVE-2025-62221 — опасная 0-дневная уязвимость в драйвере уровня ядра Windows, которая уже используется в реальных атаках. Она позволяет получить привилегии SYSTEM даже обычному пользователю.

Поэтому для всех пользователей и IT-администраторов наиболее важны следующие меры:

  • немедленное обновление системы,
  • ограничение локальных доступов,
  • усиление мониторинга и анализа логов,
  • готовность к быстрому реагированию при инциденте.

Установленные вовремя обновления — единственный надёжный способ защиты.