Az idei első Patch Kedd (Patch Tuesday) erre a hétre esett, és igazából elég komoly mennyiségű biztonsági frissítéssel érkezett, ugyanis nem kevesebb, mint 159 sebezhetőségre hozott gyógyírt.
A frissítéseket nemcsak ezért érdemes feltétlenül a lehető leghamarabb telepíteni, hanem azért, mert a 159 sebezhetőségből 8 úgynevezett nulladik napi sérülékenység volt, közülük hármat pedig már aktívan használnak a kiberbűnözők az egyes rendszerek elleni támadások alkalmával. A 159 sebezhetőség között 12 darab olyan lapul, ami kritikus besorolású, azaz mielőbbi befoltozást igényel – ezek távoli kódfuttatásra, jogosultsági szint emelésére, illetve információ kiszivárogtatásra adnak lehetőséget.
Az alábbi felsorolás azt is megmutatja, hogyan oszlanak meg az egyes sebezhetőségek:
- 40 darab a jogosultsági szint emelését teszi lehetővé
- 14 darab a biztonsági szolgáltatások megkerülésére ad módot
- 58 darab a távoli kódfuttatást teszi lehetővé
- 24 révén információ kiszivárogtatásra nyílik lehetőség
- 20 darab DDoS alapú támadási lehetőséget kínál
- 5 darab hamisítás-alapú támadásra ad módot
A 8 darab nulladik napi sebezhetőség közül a CVE-2025-21333, a CVE-2025-21334, illetve a CVE-2025-21335 jelölés alatt futó példányokat már most is aktívan használják támadásaikhoz a kiberbűnözők. Ezek a sebezhetőségek mindannyian a Windows Hyper-V NT Kernel Integration VSP komponenshez tartoznak, amelynél jogosultsági szint emelést tesznek lehetővé, vagyis rajtuk keresztül a támadó SYSTEM szintű jogosultsághoz juthat az adott Windows alapú eszközön. Arról egyelőre nincs hír, hogy pontosan miként aknázzák ki a támadók a sebezhetőségekben rejlő lehetőségeket, ám erősen valószínű, hogy mindhármat bevetik a siker érdekében.
A maradék 5 nulladik napi sebezhetőség közül a CVE-2025-21275 bejegyzés alatt futó példány a Windows App Package Installer esetében ad módot a jogosultsági szint emelésére, ami a jogosultság-kezeléssel kapcsolatos hibákból fakad, így a támadó ebben az esetben is SYSTEM szintű jogosultságra tehet szert.
A következő a sorban a CVE-2025-21308, ami a Windows Témák funkcióhoz kapcsolódik, kiaknázása pedig speciálisan megszerkesztett témán keresztül történhet, elég csak megjeleníteni a fájlt Windows Explorer alatt. Amennyiben a gyanútlan felhasználó megtekinti a téma-fájlt, a Windows automatikusan azonosítási kérelmet küld a távoli kiszolgálónak, ez pedig tartalmazza a bejelentkezett felhasználó NTLM bejelentkezési adatait. A megszerzett NTLM hasheket fel tudják törni a támadók, így egyszerű szöveges formátumban férhetnek hozzá, vagy felhasználhatják egy pass-the-hash típusú támadásban. A Microsoft szerint az NTLM kikapcsolásával vagy a „Restrict NTLM: Outgoing NTLM Traffic to remote servers” házirend aktiválásával elkerülhetőek a sebezhetőség negatív hatásai.
A következő három sebezhetőség, amelyek sorrendben a CVE-2025-21186, a CVE-2025-21366, valamint a CVE-2025-21395 bejegyzés alatt lapulnak, a Microsoft Access-hez kapcsolódnak és távoli kódfuttatásra adnak lehetőséget. A sebezhetőségekben rejlő lehetőségeket úgy tudták kihasználni a támadók, hogy speciálisan megszerkesztett Microsoft Access dokumentumokat juttattak el a célszemélyeknek. A Microsoft csapata a támadási felület csökkentése érdekében azt a döntést hozta, hogy letiltja a hozzáférést az alábbi Microsoft Access fájlformátumokhoz, amennyiben a dokumentumok e-mail csatolmányként érkeznek és onnan nyitják meg őket:
- accdb
- accde
- accdw
- accdt
- accda
- accdr
- accdu
Ebben a három sebezhetőségben az a legérdekesebb, hogy azokat az Unpatched.ai, egy AI közreműködéssel dolgozó sebezhetőség-felfedező platform vette észre.
Az új frissítések közül a Windows 11-es operációs rendszert két csomag veszi célba, az egyik a KB5050009-es, míg a másik a KB5050021-es jelölést viseli, míg a Windows 10 felhasználókat a KB50448652-es kiadás helyezi biztonságba. A felsorolt frissítések mindegyike kumulatív, azaz összegző típusú, azaz mindegyik sérülékenységhez tartalmazza az adott javítást.
