Уязвимость CVE-2025-26633: что это за угроза безопасности Windows

Кибербезопасность никогда не перестает развиваться, и появляются новые уязвимости, которые бросают вызов даже самым защищенным системам. Одной из таких критических уязвимостей является CVE-2025-26633, также известная как «MSC EvilTwin». Эта уязвимость затрагивает Microsoft Windows и активно эксплуатируется киберпреступниками для развертывания вредоносного ПО. Понимание ее последствий и тактики, используемой субъектами угроз, имеет решающее значение для предприятий и частных лиц для защиты своих систем.

Что такое CVE-2025-26633?

CVE-2025-26633 — уязвимость, обнаруженная в фреймворке Microsoft Management Console (MMC). Она позволяет злоумышленникам выполнять вредоносный код через измененный файл Microsoft Console (.msc). Эксплуатация этой уязвимости позволяет осуществлять несанкционированное развертывание программного обеспечения, компрометацию системы и потенциальную кражу данных.

Киберпреступники превратили эту уязвимость в оружие, внедряя вредоносные полезные нагрузки в пакеты подготовки (.ppkg), подписанные файлы установщика Windows (.msi) и файлы .msc. Эти полезные нагрузки устанавливают бэкдоры, которые обеспечивают постоянный доступ к скомпрометированным системам.

Кто стоит за эксплуатацией?

Киберпреступная группа, известная как Water Gamayun, также известная как EncryptHub или LARVA-208, была идентифицирована как основной субъект, стоящий за эксплуатацией CVE-2025-26633. Эта группа имеет историю запуска вредоносных атак, распространения программного обеспечения для кражи данных и использования передовых методов уклонения, чтобы избежать обнаружения.

Water Gamayun впервые привлекла внимание в середине 2024 года за свое участие в распространении различных семейств вредоносных программ через обманные веб-сайты. С тех пор группа перешла на более продвинутую инфраструктуру для развертывания атак, используя собственные серверы управления и контроля (C&C).

Как осуществляется атака?

Злоумышленники используют несколько методов для проникновения в системы. Их основная тактика заключается в маскировке вредоносных .msi-файлов под легитимные установщики ПО, такие как приложения для обмена сообщениями и проведения встреч, такие как DingTalk, QQTalk и VooV Meeting. После установки эти файлы запускают скрипты PowerShell для загрузки и запуска дополнительных вредоносных полезных нагрузок.

Одним из ключевых вариантов вредоносного ПО, используемых в этой атаке, является SilentPrism , имплант PowerShell, способный выполнять команды оболочки, поддерживать удаленный доступ и обходить механизмы обнаружения безопасности. Другой бэкдор, DarkWisp , специализируется на системной разведке, эксфильтрации данных и сохранении, что позволяет злоумышленникам сохранять контроль над зараженной машиной.

На последнем этапе атаки задействован загрузчик MSC EvilTwin , который использует уязвимость CVE-2025-26633 для выполнения мошеннического файла .msc, что приводит к установке Rhadamanthys Stealer . Эта вредоносная программа предназначена для сбора конфиденциальных данных пользователя, включая сохраненные учетные данные, сетевую информацию и сведения о конфигурации системы.

Последствия уязвимости

Эксплуатация CVE-2025-26633 представляет серьезные риски как для организаций, так и для отдельных пользователей. Некоторые из наиболее тревожных последствий включают:

1. Несанкционированный доступ к системе . Злоумышленники получают постоянный контроль над зараженными устройствами, что позволяет им удаленно выполнять команды.
2. Кража данных . Вредоносное ПО, внедряемое с помощью этого эксплойта, собирает пароли, данные сеанса, историю буфера обмена и другую конфиденциальную информацию.
3. Корпоративный шпионаж . Предприятия подвергаются риску кражи интеллектуальной собственности и целенаправленных кибератак, особенно если скомпрометированы конфиденциальные корпоративные данные.
4. Финансовые потери . Украденные учетные данные могут быть использованы для мошеннических транзакций, а компании могут столкнуться с правовыми и нормативными последствиями из-за утечки данных.
5. Компрометация сети . Вредоносное ПО может распространяться по сети организации, поражая несколько систем и приводя к масштабному ущербу.

Защита от эксплойтов CVE-2025-26633

Учитывая активную эксплуатацию этой уязвимости, организациям и отдельным пользователям необходимо принять немедленные меры по защите своих систем:

• Применить исправления безопасности – Microsoft уже выпустила обновления, устраняющие CVE-2025-26633. Установка этих исправлений как можно скорее имеет решающее значение для снижения риска.
• Отслеживайте подозрительную активность . Необходимо расследовать необычное поведение системы, несанкционированный сетевой трафик и выполнение неизвестных файлов .msc.
• Используйте защиту конечных точек . Развертывание передовых решений по безопасности конечных точек может помочь обнаружить и предотвратить заражение вредоносным ПО.
• Ограничить выполнение файлов . Разрешение на выполнение сценариев .msc, .msi и PowerShell только доверенным администраторам снижает уязвимость к вредоносному коду.
• Просвещайте пользователей . Повышение осведомленности сотрудников и отдельных лиц о фишинговых атаках и рисках загрузки программного обеспечения может предотвратить первоначальное проникновение.

Заключительные мысли

CVE-2025-26633 представляет собой существенную угрозу кибербезопасности, поскольку опытные злоумышленники используют передовые методы для эксплуатации уязвимостей Windows. Понимая, как работает уязвимость, кто стоит за атаками и какие риски она представляет, каждый может предпринять упреждающие шаги для защиты от эксплуатации. Поддержание систем в актуальном состоянии, мониторинг подозрительных действий и применение строгих политик безопасности имеют важное значение для снижения риска успешной атаки. Киберугрозы продолжают развиваться, но при правильных мерах безопасности частные лица и предприятия могут оставаться защищенными от новых уязвимостей, таких как MSC EvilTwin.