💻 Microsoft устранила 111 уязвимостей, включая уязвимость нулевого дня в Windows Kerberos, которая могла позволить злоумышленникам захватить целые домены Active Directory.

📌 На прошлой неделе компания Microsoft выпустила исправления для целого ряда из 111 уязвимостей безопасности во всем своем портфолио программного обеспечения, включая одну уязвимость, которая была объявлена общеизвестной на момент выпуска.

1️⃣Из 111 уязвимостей 16 имеют статус «критических», 92 — «важных», две — «умеренных» и одна — «низких». Сорок четыре уязвимости связаны с повышением привилегий, за ними следуют удалённое выполнение кода (35), раскрытие информации (18), спуфинг (8) и отказ в обслуживании (4).
Это в дополнение к 16 уязвимостям, устраненным в браузере Microsoft Edge на базе Chromium с момента выпуска обновления Patch Tuesday в прошлом месяце, включая две ошибки подмены, затрагивающие Edge для Android.

2️⃣В число уязвимостей входит уязвимость повышения привилегий, влияющая на гибридные развёртывания Microsoft Exchange Server (CVE-2025-53786, оценка CVSS: 8,0), о которой Microsoft сообщила на прошлой неделе. Публично раскрытая уязвимость нулевого дня — CVE-2025-53779 (оценка CVSS: 7,2) — ещё одна уязвимость повышения привилегий в Windows Kerberos, связанная с обходом относительного пути. Обнаружение и сообщение об этой уязвимости принадлежат исследователю Akamai Ювалу Гордону.

3️⃣Стоит отметить, что эта проблема была публично описана ещё в мае 2025 года компанией, занимающейся веб-инфраструктурой и безопасностью, под кодовым названием BadSuccessor. Новая технология, по сути, позволяет злоумышленнику с достаточными привилегиями скомпрометировать домен Active Directory (AD), используя объекты делегированных управляемых учётных записей служб (dMSA).

4️⃣Корпорация Microsoft отметила, что три уязвимости CVE облачных сервисов, затрагивающие Azure OpenAI, Azure Portal и Microsoft 365 Copilot BizChat, уже устранены и не требуют никаких действий со стороны клиентов.