Microsoft kontynuował swoje ogromne Aktualizacja Styczeń Patch Wtorek zawierające poprawki dla 159 luk w zabezpieczeniach z bardziej skromnymi uprawami w tym miesiącu. Tym razem wydało poprawki dla 57 nowych Wspólne luki i ekspozycje (CVE) w jego aktualizacjaz których trzy są krytyczne.
Dustin Childs of Inicjatywa Zero Day Opisał jedną z luk jako bezprecedensowa na wolności. To jest podnoszenie przywilejów (EOP) w systemie Windows Storage, CVE-2025-21391.
W poście na blogu Childs powiedział: „To… rodzaj błędu, którego nie widzieliśmy publicznie wykorzystywania. Podatność pozwala atakującemu na usunięcie ukierunkowanych plików. Jak to prowadzi do eskalacji przywileju? Mój kolega Simon Zuckerbraun szczegółowo opisuje technikę tutaj. Chociaż w przeszłości widzieliśmy podobne problemy, wydaje się, iż po raz pierwszy technika została wykorzystana na wolności. Prawdopodobnie jest również sparowany z błędem wykonania kodu, aby całkowicie przejąć system. Przetestuj i wdrożyć to szybko. ”
W Siostry Title Computer Weekly SearchWindowsServer, Tom Walat wybrał dwa nowe zero-dzień słabości, które Microsoft ustalił w tej łatce we wtorek, w tym EOP, który podkreślił Childs.
„Pierwszy nowy zero-dzień to sterownik funkcji pomocniczych dla Winsock Elevation-of Levivilege (CVE-2025-21418), który jest istotny w przypadku CVSS (Wspólny system punktacji podatności) Wynik 7,8. Ten błąd wpływa na wszystkie w tej chwili obsługiwane systemy komputerów stacjonarnych i serwerów Windows ” – napisał.
Drugim nowym zerowym dniem to podatność na magazyn EOP (CVE-2025-21391), którą Childs skomentował, do którego Walat dodał: „Aby wykorzystać lukę, atakujący potrzebuje lokalnego dostępu do sieci o niskich uprawnień. jeżeli się powiedzie, atakujący może usunąć pliki w systemie, aby powodują zakłócenia usług i prawdopodobnie wykonują inne działania, takie jak podniesienie ich przywilejów. ”
Childs również wybrało CVE-2025-21376Protokół dostępu do lekkiego katalogu Windows (LDAP) Wykonanie kodu zdalnego (RCE) wrażliwość. „Ta podatność pozwala odległym, nieautentyczonym napastnikowi uruchomienie kodu w dotkniętym systemie, po prostu wysyłając docelową prośbę o złośliwie stworzoną prośbę” – napisał. „Ponieważ nie wiąże się to z interakcją użytkownika, sprawia, iż ten błąd jest robany między dotkniętymi serwerami LDAP. Microsoft wymienia to jako „prawdopodobne wykorzystanie”, więc chociaż może to być mało prawdopodobne, potraktowałbym to jako zbliżającego się wyzysku. gwałtownie przetestuj i wdrożyć łatkę. ”
W notatkach CVE do tej „krytycznej” podatności, która ma ocenę CVSS 8.1, Microsoft stwierdził: „Nieautentyczny atakujący może wysłać specjalnie wykonane żądanie na wrażliwy serwer LDAP. Pomyślne wykorzystanie może spowodować przepełnienie bufora, który można wykorzystać w celu osiągnięcia zdalnego wykonywania kodu. ”
Istnieje również kilka poprawek błędów Microsoft Excel w tej aktualizacji, w tym CVE-2025-21387wrażliwość RCE. „Jest to jedno z kilku poprawek Excel, w których panela podglądu jest wektorem ataku, co jest mylące, ponieważ Microsoft zauważa również, iż wymagana jest interakcja użytkownika”, powiedział Childs. „Zauważają również, iż wiele łatek jest wymaganych do pełnego rozwiązania tej podatności. Prawdopodobnie można to wykorzystać albo poprzez otwarcie złośliwego pliku Excel lub podglądu złośliwego załącznika w programie Outlook. Tak czy inaczej, upewnij się, iż przetestujesz wszystkie potrzebne łatki i wdrożone. ”
Ta podatność jest jedną z sześciu wad Excel, które Microsoft poprawił w tym miesiącu, co okazało się stosunkowo lekkie Patch we wtorek.
