В рамках февральского обновления безопасности Patch Tuesday 2025 года Microsoft выпустила обновления, которые исправляют 55 уязвимостей, среди которых четыре уязвимости нулевого дня. Из них две уже активно используются злоумышленниками в реальных атаках.

Критически опасны две уязвимости нулевого дня в Windows, исправленные в текущем месяце. Особую тревогу вызывает CVE-2025-21391, позволяющая злоумышленнику повысить привилегии в хранилище Windows и удалять файлы. По информации Microsoft, это не ведёт к утечке данных, но может полностью вывести систему из строя.

Драйвер Ancillary Function Driver для WinSock содержит уязвимость CVE-2025-21418, позволяющую злоумышленникам повысить привилегии до уровня SYSTEM в Windows. Microsoft не раскрыла подробностей о механизме эксплуатации этой активно используемой уязвимости в реальных атаках.

В обновлении устранены две другие публично известные уязвимости нулевого дня. CVE-2025-21194 — это брешь в безопасности Microsoft Surface, позволяющая обойти защиту UEFI и получить доступ к защищенному ядру. По данным Microsoft, уязвимость связана с виртуальными машинами на хост-машинах с UEFI. Специалисты Quarkslab (Франция) предположили возможную связь с серией уязвимостей PixieFail, затрагивающих IPv6 стек.

Уязвимость CVE-2025-21377, позволяющая злоумышленникам получать NTLM-хэши пользователей Windows, создаёт серьёзную угрозу. Эта брешь позволяет проводить атаки типа "pass-the-hash", обеспечивая несанкционированный доступ к удалённым серверам, использующим аутентификацию LM или NTLM. По данным Microsoft, достаточно простого взаимодействия пользователя с вредоносным файлом — например, одиночного клика — для запуска эксплойта.