Эксплойты и уязвимости в третьем квартале 2025 года

В третьем квартале злоумышленники продолжили эксплуатировать проблемы безопасности в WinRAR, а общее число зарегистрированных уязвимостей снова выросло. В этом отчете мы рассмотрим статистику по опубликованным уязвимостям и эксплойтам, наиболее распространенные проблемы безопасности в Windows и Linux, а также уязвимости, которые используются в APT-атаках и приводят к запуску распространенных C2-фреймворков. В отчете использованы анонимизированные данные из Kaspersky Security Network, добровольно предоставленные нашими пользователями, а также информация из открытых источников.

Статистика по зарегистрированным уязвимостям

Этот раздел содержит статистику по зарегистрированным уязвимостям. Данные взяты с портала cve.org.

Рассмотрим количество зарегистрированных CVE по месяцам за последние 5 лет (до третьего квартала 2025 года включительно).

Общее количество опубликованных уязвимостей за каждый месяц с 2021 по 2025 год (скачать)

На графике видно, что количество опубликованных за месяц уязвимостей в третьем квартале 2025 года остается выше показателей предыдущих годов. В сумме за три месяца количество опубликованных уязвимостей более чем на 1000 превышает показатель за аналогичный период 2024 года. Конец квартала задает растущий тренд по количеству зарегистрированных CVE, и мы полагаем, что в четвертом квартале рост продолжится. Тем не менее к концу года общее число опубликованных уязвимостей, скорее всего, незначительно уменьшится относительно сентябрьского значения.

Если взглянуть на распределение по месяцам уязвимостей, оцененных при регистрации как критические (CVSS > 8,9), можно видеть, что в третьем квартале этот показатель был незначительно ниже показателя 2024 года.

Общее количество критических опубликованных уязвимостей за каждый месяц с 2021 по 2025 год (скачать)

Статистика по эксплуатации уязвимостей

Раздел содержит статистику по использованию эксплойтов за третий квартал 2025 года. Данные получены на основании открытых источников и нашей телеметрии.

Эксплуатация уязвимостей в Windows и Linux

В третьем квартале 2025 года, как и ранее, самые распространенные эксплойты были нацелены на уязвимые продукты Microsoft Office.

На платформе Windows решения «Лаборатории Касперского» обнаружили больше всего эксплойтов к следующим уязвимостям:

• CVE-2018-0802 — уязвимость удаленного выполнения кода в компоненте Equation Editor;
• CVE-2017-11882 — еще одна уязвимость удаленного выполнения кода, также затрагивающая Equation Editor;
• CVE-2017-0199 — уязвимость в Microsoft Office и WordPad, позволяющая атакующему захватить контроль над системой.

Эти уязвимости злоумышленники традиционно эксплуатируют чаще других, о чем мы рассказывали в предыдущих отчетах. В третьем квартале мы также видели, что злоумышленники активно использовали уязвимости типа Directory Traversal, возникающие при распаковке архивов в WinRAR. Хотя изначально опубликованные эксплойты к этим уязвимостям неприменимы в дикой природе, атакующие доработали их под свои нужды:

• CVE-2023-38831 — уязвимость в WinRAR, которая заключается в некорректной обработке объектов, содержащихся в архиве. Мы подробно разбирали ее в прошлогоднем отчете;
• CVE-2025-6218 (ZDI-CAN-27198) — уязвимость, которая позволяет указать относительный путь и произвести распаковку файлов в произвольную директорию. Злоумышленники могут распаковать архив в директорию системных приложений или автозапуска и выполнить вредоносный код. Более детальный разбор уязвимости есть в отчете за второй квартал;
• CVE-2025-8088 — уязвимость нулевого дня, аналогичная CVE-2025-6128, которая была обнаружена в ходе анализа APT-атак. В качестве механизма обхода контроля директории, в которую распаковываются файлы, злоумышленники использовали NTFS Streams. Эту уязвимость мы подробнее рассмотрим ниже.

Отметим, что уязвимости, обнаруженные в 2025 году, стремительно догоняют по популярности уязвимость 2023 года.

Все перечисленные CVE могут использоваться для получения первичного доступа к уязвимым системам. Мы рекомендуем своевременно устанавливать обновления для соответствующего программного обеспечения.

Динамика числа пользователей Windows, столкнувшихся с эксплойтами, Q1 2023 — Q3 2025. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2023 (скачать)

По данным нашей телеметрии, число пользователей Windows, столкнувшихся с эксплойтами, в третьем квартале выросло относительно предыдущего отчетного периода. При этом оно меньше показателя третьего квартала 2024 года.

На устройствах под управлением операционной системы Linux чаще всего детектировались эксплойты к следующим уязвимостям в ядре операционной системы:

• CVE-2022-0847 — уязвимость, известная как Dirty Pipe, которая позволяет повышать привилегии и перехватывать управление запущенными приложениями;
• CVE-2019-13272 — уязвимость некорректной обработки наследования привилегий, которая может быть использована для их повышения;
• CVE-2021-22555 — уязвимость переполнения кучи в подсистеме ядра Netfilter. Широкая распространенность этой уязвимости обусловлена тем, что при эксплуатации использовались достаточно популярные методики модификации памяти: манипуляции с примитивами msg_msg, приводящие к Use-After-Free.

Динамика числа пользователей Linux, столкнувшихся с эксплойтами, Q1 2023 — Q3 2025. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2023 (скачать)

Если взглянуть на число пользователей, столкнувшихся с эксплойтами, то мы видим, что оно продолжает расти и в третьем квартале 2025 года превышает показатель первого квартала 2023-го уже более чем в шесть раз.

Это лишний раз подчеркивает, что для операционной системы Linux критически важно устанавливать патчи безопасности, так как с каждым годом она все больше привлекает внимание злоумышленников. В первую очередь это происходит из-за растущего количества устройств под управлением Linux.

Самые распространенные опубликованные эксплойты

В третьем квартале 2025 года эксплойты к уязвимостям в операционных системах по-прежнему превалируют над эксплойтами к другим типам ПО, которые мы исследуем в рамках мониторинга публичных исследований, новостей и PoC. При этом стоит отметить, что доля эксплойтов к браузерам в третьем квартале значительно выросла и оказалась равна доле эксплойтов к прочему ПО, которое не является частью операционной системы.

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q1 2025 (скачать)

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q2 2025 (скачать)

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q3 2025 (скачать)

Стоит отметить, что в третьем квартале 2025 года, как и во втором, не появлялось новых публичных эксплойтов для продуктов Microsoft Office, однако были обнародованы PoC к уязвимостям в Microsoft SharePoint. Поскольку эти же уязвимости затрагивают и компоненты ОС, мы отнесли их к категории операционных систем.

Использование уязвимостей в APT-атаках

Мы проанализировали данные об уязвимостях, которые использовались в атаках APT-групп в третьем квартале 2025 года. Представленный ниже рейтинг включает данные, полученные на основе нашей телеметрии, исследований и открытых источников.

ТОР 10 уязвимостей, эксплуатируемых в APT-атаках, Q3 2025 (скачать)

В третьем квартале 2025 года в APT-атаках преобладают уязвимости нулевого дня, которые были раскрыты в ходе расследования единичных инцидентов. После того как они были представлены публично, началась большая волна эксплуатаций. Судя по списку программ, в которых содержатся эти уязвимости, мы наблюдаем формирование нового джентльменского набора для первоначального доступа в инфраструктуру и запуска кода как на пограничных устройствах, так и в рамках операционных систем. При этом стоит отметить, что «заслуженные» уязвимости, такие как, к примеру, CVE-2017-11882, позволяют использовать различные форматы данных и обфусцировать эксплойт, чтобы обойти детектирование. В свою очередь, большая часть новых уязвимостей требует определенного формата входных данных, что облегчает обнаружение эксплойтов и дает возможность более точно отследить их использование в защищаемых инфраструктурах. Тем не менее риск эксплуатации достаточно высок, поэтому мы настоятельно рекомендуем применять обновления, которые уже были выпущены вендорами.

C2-фреймворки

В этом разделе мы рассмотрим самые популярные C2-фреймворки, используемые злоумышленниками, и проанализируем уязвимости, эксплойты к которым взаимодействовали с C2-агентами в APT-атаках.

На графике ниже показана частота известных случаев использования С2-фреймворков в атаках за третий квартал 2025 года, согласно открытым источникам.

ТОР 10 C2-фреймворков, используемых APT-группами для компрометации систем пользователей, Q3 2025 (скачать)

Список самых распространенных C2-фреймворков прошедшего квартала возглавляют Metasploit, чья доля выросла относительно второго квартала, Sliver и Mythic. Также в него вернулся фреймворк Empire, который не был активен в прошлый отчетный период. Отдельно стоит отметить AdaptixC2, который, хоть и появился относительно недавно, практически сразу стал использоваться в реальных атаках. Изученные источники и образцы вредоносных С2-агентов показали, что для их запуска и последующего перемещения в сети жертвы использовались следующие уязвимости:

• CVE-2020-1472 — уязвимость, известная как Zerologon, позволяет скомпрометировать уязвимую операционную систему и выполнять команды от имени привилегированного пользователя;
• CVE-2021-34527 — уязвимость, известная как PrintNightmare, использует недостатки подсистемы работы с принтерами ОС Windows, также позволяет удаленно получать доступ к уязвимой ОС и выполнять в ней команды с высокими привилегиями;
• CVE-2025-6218 или CVE-2025-8088 — схожие уязвимости типа Directory Traversal, которые позволяют распаковать файлы из архива по заранее заданному пути, при этом архиватор может не выдавать пользователю никаких сообщений. Первая уязвимость была обнаружена исследователями, но затем ее взяли на вооружение злоумышленники. Вторая — уязвимость нулевого дня.

Интересные уязвимости

Этот раздел содержит наиболее интересные уязвимости, которые были опубликованы в третьем квартале 2025 года и имеют общедоступное описание.

ToolShell (CVE-2025-49704 и CVE-2025-49706, CVE-2025-53770 и CVE-2025-53771) — небезопасная десериализация и обход механизма аутентификации

ToolShell — это набор уязвимостей в Microsoft SharePoint, который позволяет обойти аутентификацию и получить полный контроль над сервером:

• CVE-2025-49704 заключается в небезопасной десериализации недоверенных данных, позволяющей злоумышленникам выполнять на уязвимом сервере вредоносный код;
• CVE-2025-49706 позволяет получить доступ к серверу в обход аутентификации;
• CVE-2025-53770 позволяет обойти патч к CVE-2025-49704;
• CVE-2025-53771 позволяет обойти патч к CVE-2025-49706.

Эти уязвимости — одна из самых любимых связок злоумышленников, так как дает возможность компрометировать доступные в сети серверы SharePoint всего за несколько запросов. При этом все они были исправлены еще в июле. Это лишний раз подчеркивает важность своевременной установки критических патчей. Подробное описание уязвимостей ToolShell можно найти в нашем блоге.

CVE-2025-8088 — уязвимость обхода каталога в WinRAR

CVE-2025-8088 очень похожа на CVE-2025-6218, о которой мы писали в предыдущем отчете. В обоих случаях злоумышленники используют относительные пути, чтобы заставить WinRAR распаковать содержимое архива в системные директории. Эта версия уязвимости отличается только тем, что при атаке злоумышленник эксплуатирует механизм Alternate Data Streams (ADS) и может использовать переменные окружения в пути, по которому будет распакован файл.

CVE-2025-41244 — уязвимость повышения привилегий в VMware Aria Operations и VMware Tools

Подробности о данной уязвимости были представлены исследователями, которые утверждают, что ее использовали в реальных атаках в 2024 году.

Суть уязвимости заключается в том, что атакующий может выполнить подмену команды, которая используется для запуска компонента обнаружения сервисов (Service Discovery) оснастки VMware Aria или набора утилит VMware Tools. В результате непривилегированный злоумышленник может получить неограниченные права на виртуальной машине. Сама уязвимость кроется в неправильно составленном регулярном выражении, которое прописано в скрипте get-versions.sh компонента Service Discovery, отвечающем за идентификацию версии сервиса и запускающемся каждый раз, когда передается новая команда.

Выводы и рекомендации

В третьем квартале 2025 года число зарегистрированных уязвимостей продолжает расти, при этом некоторые из них злоумышленники практически сразу берут на вооружение. В перспективе этот тренд, скорее всего, продолжится.

Наиболее распространенные эксплойты для Windows используются для первичного проникновения в систему. Кроме того, именно на этой стадии APT-группы активно эксплуатируют новые уязвимости. Чтобы затруднить злоумышленникам доступ в инфраструктуру, организациям следует регулярно проверять системы на наличие уязвимостей и своевременно применять патчи. Упростить и автоматизировать эти меры можно с помощью Kaspersky Systems Management. Обеспечить комплексную и гибкую защиту от кибератак любой сложности поможет Kaspersky Symphony.