Microsoft łata 57 luk (w tym 3 zero-day). Co wiemy o grudniowym Patch Tuesday 2025?

Wprowadzenie do problemu / definicja luki

Grudniowy Patch Tuesday (9 grudnia 2025) domyka rok paczką poprawek Microsoftu. Firma załatała 57 podatności, w tym trzy zero-day (jedna aktywnie wykorzystywana) — liczby te mogą się minimalnie różnić w zależności od metodologii liczenia poszczególnych serwisów (56–57 CVE). Najpoważniejsza z nich to CVE-2025-62221 w Windows Cloud Files Mini Filter Driver, która umożliwia podniesienie uprawnień do SYSTEM.

W skrócie

• Liczba poprawek: 57 wg SecurityWeek/BleepingComputer; część analiz operuje liczbą 56 CVE (różnice w wliczaniu komponentów Chromium/Edge/Mariner).
• Zero-day (3):
  • CVE-2025-62221 – Cloud Files Mini Filter (EoP), aktywnie wykorzystywana.
  • CVE-2025-64671 – GitHub Copilot for JetBrains (RCE), publicznie ujawniona.
  • CVE-2025-54100 – PowerShell (RCE/command injection), publicznie ujawniona.
• Najwięcej klas: podniesienie uprawnień (EoP) oraz RCE (w tym Office/Outlook).

Kontekst / historia / powiązania

Końcówka 2025 r. stoi pod znakiem licznych EoP po stronie Windows oraz rosnącej liczby błędów w ekosystemie narzędzi AI/IDE (przykład: Copilot dla JetBrains z podatnością na cross-prompt injection prowadzącą do command injection). Trend ten był sygnalizowany w analizach ZDI oraz mediów branżowych przez cały rok.

Analiza techniczna / szczegóły luki

1) CVE-2025-62221 – Windows Cloud Files Mini Filter Driver (EoP)

• Typ: Use-After-Free w sterowniku mini-filtra Cloud Files.
• Skutek: lokalne podniesienie uprawnień do SYSTEM; idealny łącznik w łańcuchach RCE→EoP.
• Status: aktywnie wykorzystywana na wolności; brak szczegółów TTP od Microsoftu.

Dodatkowo Microsoft załatał pokrewne EoP w tym samym komponencie (np. CVE-2025-62454), które są „likely to be exploited”. Wskazuje to na szerszą klasę błędów w Cloud Files.

2) CVE-2025-64671 – GitHub Copilot for JetBrains (RCE)

• Przyczyna: command injection wyzwalany m.in. przez cross-prompt injection w nieufnych plikach lub serwerach MCP; możliwe do wykorzystania lokalnie, ale realnie z wektorem socjotechnicznym.

3) CVE-2025-54100 – PowerShell (RCE)

• Przyczyna: nieprawidłowa neutralizacja danych z sieci; Invoke-WebRequest mógł wykonywać skrypt osadzony w pobieranej stronie.
• Zmiana: dodano ostrzeżenie i rekomendację użycia -UseBasicParsing.

Office/Outlook i inne komponenty

• Office RCE: m.in. CVE-2025-62554 i CVE-2025-62557 (wektor Preview Pane).
• Outlook RCE: CVE-2025-62562, w specyficznych warunkach oceniona jako krytyczna.
• Azure/AMA, RRAS, ReFS: poprawki obejmują też AMA (RCE), RRAS (RCE/Info Disclosure) i ReFS (RCE).

Praktyczne konsekwencje / ryzyko

• Eskalacja uprawnień (zwłaszcza przez CVE-2025-62221) znacząco obniża barierę przejścia z początkowego footholda (np. makro, złośliwy skrót .LNK, exploit w przeglądarce) do pełnej kompromitacji hosta.
• Łańcuchy z AI/IDE: błąd w Copilot for JetBrains pokazuje, iż prompt injection może być punktem wejścia do command injection w lokalnym środowisku deweloperskim.
• PowerShell jako narzędzie ofensywne: podatność łączy się z powszechnymi TTP (living-off-the-land), zwiększając ryzyko „cichego” wykonania kodu podczas automatyzacji/parsingu treści web.

Rekomendacje operacyjne / co zrobić teraz

1. Priorytetyzuj wdrożenie poprawek dla Windows/Office oraz CVE-2025-62221 (Cloud Files), CVE-2025-64671 (Copilot for JetBrains) i CVE-2025-54100 (PowerShell).
2. Stacje deweloperskie:
   • Wyłącz auto-approve komend w terminalu IDE.
   • Ogranicz zaufanie do plików/serwerów MCP; egzekwuj polityki „trusted workspace”.
3. PowerShell hardening:
   • Wymuś Constrained Language Mode tam, gdzie to możliwe; monitoruj użycie Invoke-WebRequest i wymagaj -UseBasicParsing.
   • Zbieraj i koreluj logi Script Block/Module Logging.
4. Higiena Windows:
   • Włącz Attack Surface Reduction (ASR), Credential Guard i bieżące reguły Defendera.
   • Segmentuj uprawnienia administratorów lokalnych, minimalizuj konta z prawami instalacji sterowników/filtrów. (Wnioski zgodne z analizami ZDI/DR dot. przewagi EoP).
5. Office/Outlook:
   • Ogranicz Preview Pane i zablokuj automatyczne przetwarzanie zawartości zewnętrznej.
   • Wdróż reguły transportowe DLP/AV dla załączników typowych w atakach socjotechnicznych.

Różnice / porównania z innymi przypadkami

• Rozbieżność 56 vs 57 CVE: Tenable/ZDI wskazują 56 (bez części elementów Chromium/Edge/Mariner), podczas gdy media (SecurityWeek/BleepingComputer/Dark Reading) raportują 57 – to różnica metodologiczna, nie merytoryczna. Ważniejsze są trzy zero-day i ich priorytety.
• Kontynuacja trendu: podobnie jak w poprzednich miesiącach, dominują EoP i komponenty Office/Outlook; październik/listopad również zawierały głośne luki łączone w łańcuchy ataków.

Podsumowanie / najważniejsze wnioski

• Patch now: załataj CVE-2025-62221 (aktywnie wykorzystywana), CVE-2025-64671 (Copilot/JetBrains) i CVE-2025-54100 (PowerShell).
• Zadbaj o stacje dev i PowerShell: wyłącz automaty, które mogą „dokleić” komendy; loguj i ograniczaj PowerShell.
• Traktuj EoP jako „must-fix”: to spoiwo dla większości udanych łańcuchów ataku w Windows w 2025 r.

Źródła / bibliografia

• SecurityWeek: „Microsoft Patches 57 Vulnerabilities, Three Zero-Days” (09.12.2025). (SecurityWeek)
• BleepingComputer: „Microsoft December 2025 Patch Tuesday fixes 3 zero-days, 57 flaws” (09.12.2025). (BleepingComputer)
• Trend Micro ZDI: „The December 2025 Security Update Review” (09.12.2025). (zerodayinitiative.com)
• Tenable: „Microsoft’s December 2025 Patch Tuesday Addresses 56 CVEs” (09.12.2025). (Tenable®)
• Dark Reading: „Microsoft Fixes Exploited Zero Day in Light Patch Tuesday” (09.12.2025). (Dark Reading)