avatar_Muchomorek

Wielkie łatanie Windows i Office. Zlikwidowano aż 58 podatności

Zaczęty przez Muchomorek, 14 Marzec 2025, 07:28:38

Poprzedni wątek - Następny wątek

0 użytkowników i 1 Gość przegląda ten wątek.

Do dołu Strony1

Muchomorek

14 Marzec 2025, 07:28:38
Drugi wtorek marca to tradycyjny Patch Tuesday, czyli dzień, w którym Microsoft wypuszcza zbiorcze łatki dla obsługiwanych systemów Windows, a także pakietu Office i innych swoich produktów, jak np. przeglądarka Edge. Dowiedz się, co przynoszą tym razem – a jest tego sporo.

Patch Tuesday – marzec 2025

Firma Microsoft usunęła 58 luk w zabezpieczeniach w ramach Patch Tuesday, w tym kilka z nich, które są już – niestety -wykorzystywane w praktyce. Wprowadzenie poprawek wpłynie znacząco na podniesienie bezpieczeństwa użytkowników oraz samego systemu operacyjnego.

Według Microsoftu, sześć luk w zabezpieczeniach systemu Windows jest już wykorzystywanych przez hakerów do przeprowadzania ataków. To bardo zła wieść, ale dzięki łatkom zniknie możliwość eksploatacji tych niedociągnięć. Czym są te luki? Microsoft podaje skąpe informacje na ich temat w swoim biuletynie bezpieczeństwa. Ogólnie w systemach Windows – w tym Server, 10 i 11 – załatano 43 luki. Na szczęście żadna z niech nie została zaklasyfikowana jako "krytyczna".

Jak podaje Dustin Childs z Trend Micro, jedna z luk to CVE-2025-26633. Pojawia się w Microsoft Management Console (MMC) i jest wykorzystywana przez grupę ATP EncryptHub (znaną również jako Larva-208) do przeprowadzania ukierunkowanych ataków. Sprawcy skutecznie zaatakowali już ponad 600 organizacji. Luka dotyczy obsługi plików MSC, których atakujący mogą użyć do ominięcia mechanizmów bezpieczeństwa i wykonania kodu z uprawnieniami użytkownika.

Jeśli zamontujesz specjalnie spreparowany plik wirtualnego dysku twardego (VHD), istnieje również exploit dla luk CVE-2025-24993 i CVE-2025-24985. Podczas gdy jedna luka RCE (Remote Code Execution) dotyczy systemu plików NTFS, druga znajduje się w sterowniku systemu plików FAT. W połączeniu z luką EoP (Elevation of Privilege) atakujący może przejąć cały system.

Zalogowany użytkownik może zostać oszukany i uruchomić specjalnie spreparowany program, który wykorzystuje lukę CVE-2025-24983 w podsystemie jądra Win32, może zostać wykonany kod z uprawnieniami systemowymi. W połączeniu z eksploitem RCE może to doprowadzić do przejęcia kontroli nad systemem.

Firma Microsoft klasyfikuje pięć luk RCE w systemie Windows jako krytyczne, ale na szczęście nie zostały one jeszcze wykorzystane. Dwie luki w usługach pulpitu zdalnego — CVE-2025-24035 i CVE-2025-24045 — wydają się być szczególnie problematyczne. Atakujący musiałby połączyć się z podatną bramą RDS, aby wstrzyknąć i wykonać kod.
Luki w zabezpieczeniach pakietu Microsoft Office i Edge

Firma Microsoft naprawiła 11 luk w swoich produktach i usługach Office, z których wszystkie są lukami RCE. Luka CVE-2025-26630 w Access była już publicznie znana z wyprzedzeniem (jest to zagrożenie typu "zero-day"). Jedyną luką zidentyfikowaną jako "krytyczna" jest CVE-2025-24057, która prawdopodobnie może dotyczyć wszystkich aplikacji Office. Istnieją trzy luki RCE w Wordzie i Excelu.

Najnowsza aktualizacja zabezpieczeń dla przeglądarki Edge firmy Microsoft to wersja 134.0.3124.51 z 6 marca, oparta na Chromium 134.0.6998.45. Naprawia ona lukę w zabezpieczeniach specyficzną dla Edge ( CVE-2025-26643 ). A 10 marca, Google wydało nową aktualizację zabezpieczeń dla Chrome (wersja 134.0.6998.89), która naprawiła lukę typu zero-day.

Nowe aktualizacje Windows możesz wprowadzić poprzez Windows Update, a w przypadku Edge i Office dokonując aktualizacji aplikacji z ich menu. Ponieważ chodiz o bezpieczeństwo – warto dokonać tego jak najszybciej.

Podsumowanie załatanych luk

    Podniesienie uprawnień: 23 luki
    Obejście funkcji zabezpieczeń: 3 luki
    Zdalne wykonanie kodu: 23 luki
    Ujawnienie informacji: 4 luki
    Odmowa usługi: 1 luka
    Podszywanie się: 3 luki


    CVE-2025-24983 – luka podniesienia uprawnień w podsystemie jądra Windows Win32. Pozwala lokalnym atakującym uzyskać uprawnienia SYSTEM po wygraniu wyścigu warunków. Microsoft nie ujawnił szczegółów dotyczących wykorzystania tej luki, ale wiadomo, że została odkryta przez Filipa Jurčacko z ESET.
    CVE-2025-24984 – luka ujawnienia informacji w systemie Windows NTFS. Atakujący z fizycznym dostępem do urządzenia mogą podłączyć złośliwy dysk USB i odczytać fragmenty pamięci sterty, wykradając informacje. Podatność została zgłoszona anonimowo.
    CVE-2025-24985 – luka zdalnego wykonania kodu w sterowniku systemu plików Windows Fast FAT. Spowodowana przepełnieniem liczby całkowitej lub błędem w sterowniku Windows Fast FAT. Atakujący mogą nakłonić użytkownika do zamontowania spreparowanego dysku VHD, który uruchomi lukę. Tego typu obrazy VHD były wcześniej wykorzystywane w phishingu i pirackim oprogramowaniu.
    CVE-2025-24991 – luka ujawnienia informacji w systemie Windows NTFS. Pozwala na odczytanie fragmentów pamięci sterty poprzez zmuszenie użytkownika do zamontowania złośliwego pliku VHD. Została zgłoszona anonimowo.
    CVE-2025-24993 – luka zdalnego wykonania kodu w systemie Windows NTFS, spowodowana błędem przepełnienia bufora sterty. Atakujący mogą nakłonić użytkownika do zamontowania spreparowanego dysku VHD, co pozwala na uruchomienie złośliwego kodu. Luka została zgłoszona anonimowo.
    CVE-2025-26633 – luka umożliwiająca obejście funkcji zabezpieczeń w Microsoft Management Console. Szczegóły dotyczące tej podatności nie zostały jeszcze ujawnione przez Microsoft.

żródło  Nie masz uprawnień do wyświetlania linków. Zarejestruj się lub ZalogujYou cannot view this attachment.You cannot view this attachment.
Do góry Strony1