Microsoft rozpoczął rok 2025 z hukiem w drugi wtorek stycznia, oddając masową sprzedaż Łatka we wtorek aktualizacja zawierająca poprawki dla 159 luk – liczba ta wzrosła do 161 i zawiera dwie dodatkowe luki za pośrednictwem CERT CC i GitHub.
Według Dustina Childsa z Inicjatywa Dnia Zeromoże to być największa liczba CVE rozpatrzona w ciągu miesiąca od 2017 r. – w rzeczywistości jest to ponad trzykrotność liczby (49) ustalono o tej porze w zeszłym roku – i podąża za kolejnym niezwykle ciężka grudniowa aktualizacja.
„[This] może być złowieszczym sygnałem dotyczącym liczby poprawek w 2025 r.” – napisał Childs w swoim regularny blog podsumowujący. „Ciekawie będzie zobaczyć, jak ułoży się ten rok”.
Regula Tylera, Fortra zastępca dyrektora ds. badań i rozwoju w zakresie bezpieczeństwa zgodził się: „To zdecydowanie jeden z tych miesięcy, w których administratorzy muszą cofnąć się, wziąć głęboki oddech i ustalić plan ataku.
„Chociaż duża liczba tych luk zostanie usunięta przez aktualizację zbiorczą systemu Windows, dotkniętych jest mnóstwo innego oprogramowania, w tym szereg produktów Office – Word, Excel, Access, Outlook, Visio i SharePoint – a także innych programów Microsoft produkty takie jak .NET, .NET Framework i Visual Studio.
„Takie miesiące są wspaniałe [reminder] iż administratorzy muszą ufać swoim dostawcom i ich narzędziom” – powiedział Reguly. „Naprawianie luk 161 nie może być procesem w pełni ręcznym, zwłaszcza iż wiemy, iż dzisiaj wypuszczane są nie tylko łatki Microsoftu. Na przykład Adobe porzuciło aktualizacje programów Photoshop, Substance3D Stager, Illustrator dla iPada, Animate i Adobe Substance3D Designer.
„Łatanie luk w zabezpieczeniach nie powinno być samodzielnym przedsięwzięciem przedsiębiorstwa, a jeżeli tak jest, być może nadszedł czas, aby porozmawiać z kierownictwem na temat zmian kadrowych i narzędziowych”.
Zero dni
Wśród rekordowej liczby luk znajduje się aż osiem luk zerowych, trzy, o których wiadomo, iż zostały wykorzystane w środowisku naturalnym, oraz 11 luk krytycznych.
W tym miesiącu dni zerowe są następujące:
- CVE-2025-21333luka w podniesieniu uprawnień (EoP) w Windows Hyper-V NT Kernel VSP;
- CVE-2025-21334druga luka w zabezpieczeniach EoP w tej samej usłudze;
- CVE-2025-21335co stanowi trzecią lukę w zabezpieczeniach EoP w tej samej usłudze.
Wiadomo, iż te luki w Windows Hyper-V NT Kernel VSP były wykorzystywane w środowisku naturalnym, ale exploity te nie zostały jeszcze upublicznione, podczas gdy w przypadku pozostałych pięciu sytuacja jest odwrotna. Są to:
Saaed Abbasi, menedżer ds. luk w zabezpieczeniach w firmie Jednostka Badań nad Zagrożeniami Qualysstwierdził, iż szybkie załatanie problemów z Hyper-V ma najważniejsze znaczenie, ponieważ są one narażone na aktywne ataki.
„Pozwalają uwierzytelnionemu użytkownikowi na podniesienie uprawnień do SYSTEMU i pozwalają mu przejąć pełną kontrolę nad zagrożonym środowiskiem” – powiedział Abbasi.
„Zwykle przejście od gościa do hosta/hiperwizora oznacza CVSS [Common Vulnerability Scoring System] zmiana zakresu, ale obecne ujawnienie Microsoftu nie potwierdziło tego wyraźnie, co sugeruje, iż potrzebne są dalsze szczegóły; może to zagrozić całej infrastrukturze hosta, a nie tylko pojedynczej maszynie wirtualnej [virtual machine].”
Osoba zagrażająca, która jest w stanie uzyskać uprawnienia na poziomie SYSTEMU, budzi poważne obawy obrońców, ponieważ otwiera drzwi do innych działań – takich jak wyłączanie wbudowanych narzędzi zabezpieczających lub zrzucanie danych uwierzytelniających w celu przemieszczania się między domenami w środowisku docelowym. Techniki takie są często stosowane zarówno przez gangi cyberprzestępcze motywowane finansowo, jak i operatorów szpiegowskich wspieranych przez państwo narodowe.
Korzystasz czy nie, korzystasz z Access?
Tymczasem Adam Barnett, główny inżynier systemu w Szybki7zastosował regułę w odniesieniu do trzech podobnych problemów RCE w programie Microsoft Access.
Barnett szczegółowo opisał, jak udana eksploatacja – jeżeli do niej dojdzie – wymagałaby oszukania użytkownika w celu pobrania i otwarcia złośliwego pliku, co prowadziłoby do wykonania kodu poprzez przepełnienie bufora opartego na stercie.
„Co ciekawe, w każdym przypadku jedna część poradnika opisuje ochronę przed aktualizacjami jako „blokowanie wysyłania potencjalnie złośliwych rozszerzeń w wiadomości e-mail”, ale pozostała część poradnika nie wyjaśnia, w jaki sposób miałoby to zapobiegać złośliwej aktywności” – stwierdził. Barnetta.
„Zazwyczaj łatki zapewniają ochronę poprzez blokowanie złośliwych plików po otrzymaniu złośliwego załącznika do wiadomości e-mail, zamiast w pierwszej kolejności zapobiegać wysyłaniu złośliwego załącznika, ponieważ osoba atakująca może wysłać, co chce, z dowolnego kontrolowanego przez siebie systemu.
„W każdym razie często zadawane pytania wspominają, iż użytkownicy, którzy w przeciwnym razie weszliby w interakcję ze złośliwym załącznikiem, zamiast tego otrzymają powiadomienie, iż istniał załącznik, ale „nie można uzyskać do niego dostępu”, co jest prawdopodobnie najlepszą grą słów, jaką widzieliśmy z MSRC za jakiś czas” – powiedział.
Odnosząc się do błędu polegającego na fałszowaniu motywów systemu Windows, Barnett powiedział, iż wielu administratorów i użytkowników może nie myśleć o tej funkcji – która umożliwia użytkownikom personalizowanie pulpitów dzięki obrazów tła, wygaszaczy ekranu itd. – bardzo często, jeżeli w ogóle, ale przez cały czas konieczne było uiszczenie opłaty szczególną uwagę na wszystkie aspekty systemu Windows.
„Udane wykorzystanie prowadzi do niewłaściwego ujawnienia skrótu NTLM, co umożliwia osobie atakującej podszywanie się pod użytkownika, od którego został on uzyskany” – stwierdził.
„Doradcze FAQ owijają się wokół metodologii wykorzystania bez wyjaśnienia; dowiadujemy się, iż gdy osoba atakująca w jakiś sposób dostarczy złośliwy plik do systemu docelowego, użytkownik będzie musiał manipulować złośliwym plikiem, ale niekoniecznie go kliknąć lub otworzyć.
„Bez dalszych szczegółów możemy jedynie spekulować, ale prawdopodobne jest, iż samo otwarcie folderu zawierającego plik w Eksploratorze Windows – w tym folderu Pobrane – lub włożenie dysku USB wystarczy, aby wyzwolić lukę i po cichu wykryć wyciek skrótu NTLM do gromadzenia przez podmiot stwarzający zagrożenie.”
