В регулярном обзоре рассматриваем три угрозы, затрагивающие разные уровни ИТ-инфраструктуры: критическую уязвимость CVE-2025-59287 в службе WSUS, а также уязвимости отравления DNS-кеша (CVE-2025-40780, CVE-2025-40778) в BIND 9. Рекомендуем проверить свои системы и обновить их при необходимости. Также в сфере кибербезопасности отмечается развитие технологии создания голосовых дипфейков в реальном времени: рассказываем о ключевых изменениях и потенциальных рисках.
Критическая уязвимость в WSUS позволяет хакерам контролировать серверы Windows
В службе обновления Windows Server Update Service (WSUS) обнаружена критическая уязвимость CVE-2025-59287 на серверах Windows с включённой ролью WSUS Server. Она позволяет удалённо выполнять произвольный код с правами SYSTEM без аутентификации, что может привести к захвату контроля над сервером. По информации специалистов компании Eye Security, уже были обнаружены попытки сканирования и эксплуатации свежего бага.
Уязвимость работает так:
- Сначала злоумышленник сканирует сеть в поисках WSUS-серверов с открытыми портами 8530/TCP и 8531/TCP. Исследования показывают, что в интернете доступно около 2500 таких серверов.
- После обнаружения цели атакующий отправляет специально созданное событие, которое запускает небезопасную десериализацию в устаревшем механизме WSUS. Для атаки не требуется аутентификация или взаимодействие с пользователем.
- Успешная эксплуатация позволяет выполнить произвольный код с правами SYSTEM, что даёт полный контроль над сервером. На этапе пост-эксплуатации злоумышленники выполняют команды whoami, net user /domain и ipconfig /all для сбора информации о домене и сети, передавая данные через вебхуки.
Особую опасность уязвимости придает возможность самораспространения по принципу червя между WSUS-серверами корпоративной сети.
Главный метод защиты — как можно скорее установить экстренные обновления для всех затронутых версий Windows Server. Патчи доступны для:
- Windows Server 2025 (KB5070881);
- Windows Server, версия 23H2 (KB5070879);
- Windows Server 2022 (KB5070884);
- Windows Server 2019 (KB5070883);
- Windows Server 2016 (KB5070882);
- Windows Server 2012 R2 (KB5070886);
- Windows Server 2012 (KB5070887).
Если нет возможности незамедлительно установить обновления, можно использовать временные меры: отключить WSUS Server Role или заблокировать весь входящий трафик на порты 8530 и 8531, что сделает WSUS неработоспособным. Правда, после отключения WSUS или блокировки трафика конечные устройства Windows перестанут получать обновления с локального сервера.
Уязвимости в BIND 9 позволяют отравлять DNS-кеш и вызывать отказ в обслуживании
В DNS-сервере BIND 9 обнаружены сразу три опасные уязвимости, две из которых позволяют отравлять DNS-кеш, а третья — вызывать отказ в обслуживании. Они затрагивают только резолверы — серверы, обрабатывающие DNS-запросы клиентов, в то время как авторитативные серверы не подвержены риску.
Наиболее опасные — уязвимости отравления кеша:
- CVE-2025-40780 (8.6 CVSS) ослабляет защиту, внедренную после исследований Дэна Камински в 2008 году — позволяет предсказывать исходный порт и ID запроса, что упрощает спуфинг-атаки.
- CVE-2025-40778 (8.6 CVSS) связана с недостаточной валидацией входящих данных, позволяя злоумышленникам внедрять поддельные записи прямо в кеш DNS-сервера.
Третья уязвимость CVE-2025-8677 (7.5 CVSS) позволяет вызвать отказ в обслуживании через специально подготовленные DNSKEY-записи, которые исчерпывают ресурсы процессора.
ISC выпустила обновления для всех актуальных версий BIND: 9.18.41, 9.20.15 и 9.21.14. Организация настоятельно рекомендует немедленно обновиться, особенно тем, кто использует неподдерживаемые версии. Существующие меры защиты, включая DNSSEC, ограничение частоты запросов и настройки файрвола, также остаются эффективными против потенциальных атак.
Мошенники научились подделывать голос в режиме реального времени
Компания NCC Group, которая занимается кибербезопасностью, опубликовала новый отчёт. В нём говорится, что технологии создания голосовых дипфейков достигли нового уровня: теперь они могут имитировать голос в реальном времени с помощью общедоступных инструментов и оборудования. Это открывает новые возможности для фишинга, и злоумышленники смогут имитировать голос конкретного человека в звонках и обходить традиционные средства защиты.
Конечно, аудиодипфейки — это не что-то новое, но раньше они не использовались в режиме реального времени. Как правило, злоумышленники заранее строили диалог и записывали реплики. Но если разговор отклонялся от ожидаемого сценария, мошенникам приходилось экстренно генерировать дипфейк, и появлялась задержка, как минимум несколько секунд (а часто и гораздо дольше).
Сейчас такой проблемы нет. Инженеры NCC Group разработали собственный метод воссоздания голоса и протестировали его на клиентах с их разрешения, и никто не заметил подмены. В отличие от голосовых, дипфейки с видеорядом пока не работают в реальном времени. Их слабая сторона — недостаточная согласованность картинки и звукового ряда — мимика не всегда соответствует интонациям.
Новые решения заставляют задуматься о необходимости совершенствовать средства защиты: методы аутентификации теперь не должны полагаться на голосовые и видеозвонки, предупреждают эксперты.
Возможно, вам будет интересно
