Корпорація Майкрософт виправляє «червотворну» помилку Windows і Zero-Day, що видаляє файли

Останній пакет виправлень від Microsoft у вівторок містить жахливе попередження для користувачів Windows: дві активно використовувані уразливості нульового дня з’явилися в дикій природі, і одна з них може дозволити зловмисникам видалити критичні файли з цільових систем.

Компанія випустила термінові виправлення безпеки для щонайменше 55 задокументованих уразливостей у Windows і пов’язаних програмах, включаючи критичні недоліки в Windows Storage, WinSock і Microsoft Excel. Серед них помилка віддаленого виконання коду (RCE) у протоколі Windows Lightweight Directory Access Protocol (LDAP) називається «черв’яною», що викликає занепокоєння щодо широкого використання.

Ось що вам потрібно знати про ці загрози та чому негайне виправлення є вирішальним.

Помилка видалення файлу нульового дня (CVE-2025-21391)

Однією з найтривожніших уразливостей, усунених у цьому оновленні, є CVE-2025-21391, недолік повноважень у сховищі Windows, який дозволяє зловмисникам видаляти файли в системі жертви. Це може призвести до серйозних збоїв, нестабільності системи або навіть збоїв у роботі служби — це серйозна загроза як для окремих користувачів, так і для компаній.

Оскільки ця вада вже активно використовується, користувачам Windows слід негайно застосувати виправлення, щоб уникнути потенційних атак.

Помилка WinSock надає СИСТЕМНІ привілеї (CVE-2025-21418)

Інший критичний нульовий день, CVE-2025-21418, впливає на драйвер допоміжних функцій Windows для WinSock. У разі успішного використання він надає зловмисникам привілеї СИСТЕМНОГО рівня, даючи їм майже повний контроль над ураженим пристроєм.

Корпорація Майкрософт класифікувала цю вразливість як загрозу з високим пріоритетом, закликаючи адміністраторів негайно розгортати виправлення, щоб мінімізувати ризик компрометації.

Помилка віддаленого виконання коду «Wormable» (CVE-2025-21376)

Однією з найбільш занепокоєних уразливостей у цьому оновленні є CVE-2025-21376, помилка віддаленого виконання коду (RCE) у протоколі Windows Lightweight Directory Access Protocol (LDAP).

Ця помилка дозволяє неавтентифікованому зловмиснику надсилати спеціально створені запити на вразливий сервер LDAP, що призводить до переповнення буфера, яке може бути використано для віддаленого виконання коду. Експерти з безпеки попереджають, що ця вразливість може бути шкідливою, тобто її можна використовувати для саморозповсюдження в мережах без взаємодії з користувачем.

Відповідно до ZDI (Ініціатива нульового дня), організації, які використовують сервери LDAP, повинні терміново протестувати та розгорнути виправлення, щоб запобігти потенційним широкомасштабним атакам.

Віддалене виконання коду Microsoft Excel (CVE-2025-21387)

Користувачі Microsoft Excel також піддаються ризику через CVE-2025-21387, уразливість віддаленого виконання коду, яку можна використати через панель попереднього перегляду. Це означає, що жодної взаємодії з користувачем не потрібно — просте відкриття шкідливого файлу на панелі попереднього перегляду може спровокувати експлойт.

Щоб повністю пом’якшити цю загрозу, корпорація Майкрософт випустила кілька патчів, які потрібно встановити, щоб забезпечити повний захист.

Інші помітні вразливості

Microsoft також усунула кілька інших суттєвих недоліків безпеки, зокрема:

• CVE-2025-21194 – помилка обходу функції, що впливає на Microsoft Surface.
• CVE-2025-21377 – уразливість підробки в хеші NTLM, яка може дозволити зловмиснику викрасти хеш користувача NTLMv2 і автентифікуватися як цей користувач.

Відсутність IOC у Microsoft залишає захисників у невіданні

Незважаючи на серйозність цих вразливостей, корпорація Майкрософт не надала індикаторів компрометації (IOC) або даних телеметрії, щоб допомогти групам безпеки виявити активне використання. Відсутність прозорості ускладнює для захисників визначення того, чи вони були скомпрометовані.

Що ви повинні зробити зараз

• Негайно застосувати всі доступні патчі. Зловмисники вже використовують деякі з цих недоліків, тому швидке оновлення є важливим.
• Відстежуйте мережеву активність на наявність підозрілого трафіку LDAP. Вразливість LDAP, яка може бути використана для широкомасштабних атак.
• Вимкніть панель попереднього перегляду в Microsoft Excel. Цей простий крок може допомогти зменшити ризик атак без кліків.
• Використовуйте засоби захисту кінцевої точки та моніторингу безпеки, щоб виявити підвищення привілеїв або несанкціоноване видалення файлів.

Оскільки кіберзагрози стають все більш складними, бути в курсі оновлень у вівторок важливіше, ніж будь-коли. Відкладення цих виправлень може зробити вашу систему вразливою до небезпечних експлойтів, втрати даних і потенційних атак програм-вимагачів.

Користувачі Microsoft повинні діяти зараз, поки зловмисники не завдали удару.