Обнаружена новая уязвимость в службе Windows Remote Desktop: Хакеры могут запускать вредоносный код удалённо

В системе Microsoft Windows Remote Desktop Services (RDP) была обнаружена серьёзная уязвимость, которая позволяет злоумышленникам запускать вредоносный код удалённо без необходимости аутентификации пользователя.

Эта уязвимость, получившая название CVE-2025-27480, является проблемой use-after-free в службе Remote Desktop Gateway и имеет высокий уровень риска — 8.1 по шкале CVSS. Уязвимость представляет опасность, в первую очередь, для корпоративных систем и организаций, предоставляющих глобальные услуги.

Уязвимость возникает из-за проблемы управления памятью в службе Remote Desktop Gateway. Эта уязвимость use-after-free позволяет злоумышленнику повторно использовать неправильно управляемый объект в памяти, что может привести к удалённому запуску вредоносного кода.

Согласно рекомендациям Microsoft, злоумышленник может подключиться к компьютеру, на котором установлен Remote Desktop Gateway, с помощью специальной методики вызвать ошибку в управлении памятью, что приведёт к выполнению произвольного кода на заражённой системе.

Уязвимость классифицирована как CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C, что означает, что для её эксплуатации требуется высокий уровень сложности, но не требуется пользовательская аутентификация (UI) или права. Злоумышленник использует ошибки управления памятью для повторного использования выделенной памяти.

Как работает уязвимость:

  1. Служба выделяет память для объекта
  2. Затем она освобождает эту память
  3. После этого служба обращается к уже освобождённой памяти
  4. Злоумышленник может использовать эту ошибку для запуска произвольного кода.

Microsoft также объявила о ещё одной «критической» уязвимости, CVE-2025-27487, которая затрагивает Remote Desktop Client. Эта ошибка позволяет запускать произвольный код при подключении пользователя к удалённому серверу.

В отличие от CVE-2025-27480, для эксплуатации этой уязвимости требуется активное вмешательство пользователя (то есть пользователь должен подключиться к вредоносному серверу, чтобы активировать уязвимость).

Microsoft выпустила официальные исправления для нескольких систем и распространила обновления для защиты от этой уязвимости. Однако для некоторых версий Windows 10 обновления пока не доступны, и они ожидаются в ближайшее время.

Рекомендации специалистов по безопасности:

  • Немедленно установить все обновления
  • Минимизировать использование службы RDP и сегментировать сеть
  • Включить функцию Network Level Authentication (NLA)
  • Тщательно отслеживать RDP-соединения и действия, выполняемые через них

Уязвимость CVE-2025-27480 представляет собой опасную точку для удалённого управления системами. Такие уязвимости могут представлять серьёзную угрозу не только для организаций, но и для каждого пользователя. Установив обновления, выпущенные Microsoft, и приняв меры безопасности, можно предотвратить такие атаки.