«Уязвимость CVE-2025-21420 использует доверие операционной системы к легитимным процессам для внедрения вредоносного кода, что делает такие атаки крайне сложными для обнаружения. Подобные уязвимости требуют создания и размещения вредоносной DLL в определённом каталоге, чтобы она была загружена вместо стандартной библиотеки при запуске cleanmgr.exe. Злоумышленник может поместить файл, например, в директорию C:\Users<username>\System32\System32\System32, что заставит систему использовать вредоносную DLL. Это, в свою очередь, позволяет выполнить любой произвольный код, например запуск PowerShell или других инструментов для получения удалённого доступа к системе. Такие атаки могут долго оставаться незамеченными, поскольку вредоносный код исполняется в рамках доверенной программы», — объясняет Едемская.
Киберэксперт подчёркивает необходимость мониторинга загрузки DLL и строгого контроля над соответствующими каталогами при помощи инструментов, таких как Ankey SIEM NG: «В крупных инфраструктурах с многочисленными активами и сложными сетевыми топологиями дополнительные сложности создают попытки злоумышленников скрывать свои действия в большом объёме данных. Для таких ситуаций могут быть полезны решения для централизованного мониторинга, такие как SIEM-системы, в частности ANKEY SIEM NG от "Газинформсервиса". Система автоматизирует процесс анализа и корреляции событий безопасности, что позволяет оперативно реагировать на подозрительные события и предотвращать возможные угрозы ещё на стадии их появления».
