Ostrzegamy wszystkie firmy i instytucje przed nowo ujawnioną luką w systemie Microsoft Windows – CVE-2025-59230. Jest to poważna podatność, umożliwiająca lokalnemu atakującemu z niskimi uprawnieniami uzyskanie pełnej kontroli nad systemem (poziom SYSTEM). Co istotne, amerykańska agencja CISA (Cybersecurity and Infrastructure Security Agency) dodała tę lukę do swojego katalogu Known Exploited Vulnerabilities (KEV), czyli listy podatności, które są już aktywnie wykorzystywane w atakach. Oznacza to, iż instytucje federalne USA mają obowiązek usunąć tę lukę lub złagodzić jej skutki przed określonym terminem. W niniejszym artykule przedstawiamy szczegóły techniczne CVE-2025-59230, ocenę ryzyka oraz konsekwencje ostrzeżenia wydanego przez CISA.
Szczegóły techniczne CVE-2025-59230
Według bazy danych NVD (National Vulnerability Database) głównym powodem wystąpienia luki CVE-2025-59230 jest niewłaściwa kontrola dostępu w komponencie systemowym Windows Remote Access Connection Manager (RasMan).
Najważniejsze informacje techniczne:
- Luka sklasyfikowana jest jako CWE-284 (Improper Access Control) – oznacza to, iż niektóre operacje wymagające autoryzacji nie są odpowiednio sprawdzane.
- Atakujący z lokalnym kontem użytkownika może wykorzystać podatność do eskalacji uprawnień aż do poziomu SYSTEM.
- Wskaźnik CVSS 3.1 wynosi 7.8 (high), a wektor ataku to AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H – czyli atak lokalny, niska złożoność, niskie uprawnienia wymagane, brak interakcji użytkownika i pełny wpływ na poufność, integralność i dostępność systemu.
- Błąd dotyczy składnika RasMan, który od wielu lat odpowiada za obsługę połączeń zdalnych (m.in. VPN i dial-up).
To pierwszy przypadek, gdy Microsoft potwierdził, iż luka w tym module jest aktywnie wykorzystywana jako zero-day. Co więcej, dotyczy ona wszystkich obsługiwanych wersji systemu Windows i Windows Server, co znacząco zwiększa powierzchnię ataku.
Podczas październikowego Patch Tuesday Microsoft opublikował poprawkę bezpieczeństwa, ponieważ luka była już wykorzystywana w rzeczywistych atakach. Choć exploit wymaga lokalnego dostępu, po uzyskaniu go atakujący może błyskawicznie przejąć pełną kontrolę nad systemem.
Ostrzeżenie CISA i obowiązki instytucji
14 października 2025 r. CISA dodała CVE-2025-59230 do katalogu Known Exploited Vulnerabilities (KEV).
Zgodnie z komunikatem CISA:
Microsoft Windows Improper Access Control Vulnerability
Data dodania: 14.10.2025
Termin usunięcia: 4.11.2025
Zalecenie: Zastosować poprawki zgodnie z instrukcjami producenta lub, jeżeli to niemożliwe, wyłączyć podatny komponent.
Dodanie luki do katalogu KEV oznacza, że:
- Istnieją wiarygodne dowody aktywnego wykorzystania jej w atakach.
- Agencje federalne USA muszą zastosować poprawki do wskazanego terminu (zgodnie z Binding Operational Directive 22-01).
- Podmioty z sektora krytycznego i administracji publicznej powinny potraktować ją jako priorytetową w procesie aktualizacji.
Innymi słowy – jeżeli systemy nie zostaną zaktualizowane do 4 listopada 2025 r., uznaje się je za nienależycie zabezpieczone i niezgodne z wymogami CISA.
Ocena ryzyka i zalecenia dla obrony
Z technicznego punktu widzenia CVE-2025-59230 stanowi poważne zagrożenie, ponieważ umożliwia pełną eskalację uprawnień po uzyskaniu choćby minimalnego dostępu lokalnego. Może to pozwolić atakującemu na:
- przejęcie kontroli nad systemem,
- instalację złośliwego oprogramowania,
- utrzymanie trwałej obecności (persystencji),
- ruch boczny w sieci wewnętrznej.
Zalecane działania:
- Niezwłocznie zainstalować aktualizacje Microsoft z października 2025 r. (Patch Tuesday).
- W przypadku opóźnienia w aktualizacjach tymczasowo wyłączyć usługę RasMan, jeżeli nie jest niezbędna (uwaga: może to zakłócić działanie VPN).
- Wzmocnić monitoring i logowanie – obserwować wywołania procesów związanych z RasMan oraz nietypowe żądania dotyczące uprawnień systemowych.
- Stosować zasadę najmniejszych uprawnień – ograniczyć konta użytkowników do niezbędnego minimum.
- Zabezpieczyć sieć – segmentować systemy, aby utrudnić rozprzestrzenianie się atakującego.
- Zweryfikować wdrożenie poprawek – upewnić się, iż wszystkie hosty posiadają aktualne wersje systemu.
Warto także pamiętać, iż CVE-2025-59230 nie jest jedyną luką z październikowego zestawu poprawek – Microsoft załatał również inne aktywnie wykorzystywane podatności, m.in. CVE-2025-24990 i CVE-2025-47827.
Podsumowanie
CVE-2025-59230 to klasyczna, ale wyjątkowo groźna luka typu local privilege escalation, pozwalająca przejąć pełną kontrolę nad systemem Windows. Jej aktywne wykorzystanie oraz obecność w katalogu CISA KEV sprawiają, iż jest to jedna z najpilniejszych podatności do usunięcia w 2025 roku. Dla organizacji publicznych i prywatnych oznacza to konieczność natychmiastowego działania – zarówno poprzez instalację poprawek, jak i wzmocnienie systemowych środków ochrony.
