Spoločnosť Microsoft v utorok vydala záplaty pre ohromujúcich 183 bezpečnostných chýb pokrývajúcich jej produkty, vrátane troch zraniteľností, ktoré sú aktívne zneužívané v teréne, pričom technologický gigant oficiálne ukončil podporu svojho operačného systému Windows 10, pokiaľ nie sú počítače zapojené do programu Extended Security Updates (ESU).
Z týchto 183 zraniteľností je osem CVE, ktoré nevydal Microsoft. Až 165 chýb bolo hodnotených ako dôležité (Important), nasledovaných 17 ako kritické (Critical) a jedna ako mierna (Moderate). Väčšina z nich sa týka zraniteľností umožňujúcich eskaláciu privilégií (84), pričom ďalej sú to vzdialené vykonanie kódu (33), únik informácií (28), spoofing (14), denial-of-service (11) a obchádzanie bezpečnostných mechanizmov (11).
Tieto aktualizácie sú nad rámec 25 zraniteľností, ktoré Microsoft opravil v prehliadači Edge založenom na Chromiu od vydania septembrového Patch Tuesday 2025.
Dve Windows zero-day zraniteľnosti, ktoré sú aktívne zneužívané, sú nasledovné —
- CVE-2025-24990 (CVSS skóre: 7.8) – zraniteľnosť v ovládači Windows Agere Modem Driver („ltmdm64.sys“) umožňujúca eskaláciu privilégií
- CVE-2025-59230 (CVSS skóre: 7.8) – zraniteľnosť v Windows Remote Access Connection Manager (RasMan) umožňujúca eskaláciu privilégií
Microsoft uviedol, že obidve chyby môžu útočníkom umožniť vykonať kód s vyvýšenými privilégiami, hoci momentálne neexistujú indície o tom, ako sú presne zneužívané a aký je rozsah týchto aktivít. V prípade CVE-2025-24990 spoločnosť uviedla, že plánuje ovládač úplne odstrániť namiesto vydania záplaty pre tento zastaraný komponent tretích strán.
Bezpečnostnú chybu označil za „nebezpečnú“ Alex Vovk, CEO a spoluzakladateľ Action1, keďže vychádza zo zastaraného kódu inštalovaného štandardne vo všetkých systémoch Windows, bez ohľadu na to, či je súvisiaci hardvér prítomný alebo používaný.
„Zraniteľný ovládač je súčasťou každej verzie Windows, vrátane Server 2025,“ povedal Adam Barnett, vedúci softvérový inžinier v Rapid7. „Možno váš faxový modem používa iný čipset, a teda ten Agere ovládač nepotrebujete? Možno ste práve objavili e-mail? Nešťastie. Váš PC je stále zraniteľný a lokálny útočník s minimálne privilégiovaným účtom sa môže povýšiť na administrátora.“
Podľa Satnama Naranga, senior staff research engineera v Tenable, je CVE-2025-59230 prvou zraniteľnosťou v RasMan, ktorá bola zneužitá ako zero-day. Microsoft od januára 2022 opravoval v tomto komponente viac než 20 chýb.
Tretia zraniteľnosť, ktorá bola zneužitá v reálnych útokoch, sa týka obchádzania Secure Boot v IGEL OS pred verziou 11 (CVE-2025-47827, CVSS skóre: 4.6). Podrobnosti o chybe prvýkrát verejne zverejnil bezpečnostný výskumník Zack Didcott v júni 2025.
„Dôsledky obchádzania Secure Boot môžu byť významné, pretože útočníci môžu nasadiť rootkit na úrovni jadra, získať prístup do samotného IGEL OS a následne manipulovať s virtuálnymi pracovnými plochami, vrátane odchytu prihlasovacích údajov,“ povedal Kev Breen, senior director of threat research v Immersive.
„Treba poznamenať, že toto nie je vzdialený útok a zvyčajne je na jeho vykonanie potrebný fyzický prístup, čo znamená, že najpravdepodobnejším vektorom sú útoky štýlu ‘evil-maid’, ktoré ohrozujú najmä zamestnancov často cestujúcich.“
Všetky tri problémy boli následne pridané do katalógu Known Exploited Vulnerabilities (KEV) americkej agentúry Cybersecurity and Infrastructure Security Agency (CISA), pričom federálne agentúry sú povinné aplikovať záplaty do 4. novembra 2025.
Medzi ďalšie pozoruhodné kritické zraniteľnosti patria chyba vzdialeného vykonania kódu (RCE) (CVE-2025-59287, CVSS skóre: 9.8) v Windows Server Update Service (WSUS), out-of-bounds read zraniteľnosť v referenčnej implementácii TPM2.0 Trusted Computing Group (TCG) v pomocnej funkcii CryptHmacSign (CVE-2025-2884, CVSS skóre: 5.3) a RCE v Windows URL Parsing (CVE-2025-59295, CVSS 8.8).
„Útočník to môže zneužít konštrukciou špeciálneho škodlivého URL,“ povedal Ben McCarthy, lead cybersecurity engineer v Immersive, o CVE-2025-59295. „Údaje, ktoré sú pretečené, môžu byť navrhnuté tak, aby prepísali kritické dáta programu, ako je ukazovateľ na funkciu alebo ukazovateľ na virtuálnu funkčnú tabuľku objektu (vtable).“
„Keď aplikácia neskôr skúsi použiť tento poškodený ukazovateľ, namiesto vyvolania legitímnej funkcie presmeruje tok vykonávania programu na pamäťovú adresu kontrolovanú útočníkom. To umožní útočníkovi spustiť ľubovoľný kód (shellcode) na cieľovom systéme.“
Dve zraniteľnosti s najvyšším CVSS skóre v tomto mesačnom balíku sa týkajú chyby eskalácie privilégií v Microsoft Graphics Component (CVE-2025-49708, CVSS skóre: 9.9) a obchádzania bezpečnostnej funkcie v ASP.NET (CVE-2025-55315, CVSS skóre: 9.9).
Hoci zneužitie CVE-2025-55315 vyžaduje, aby bol útočník najprv autentifikovaný, dá sa zneužívať na tajné obídenie bezpečnostných kontrol a vykonanie škodlivých akcií vložením druhého, škodlivého HTTP požiadavku do tela ich počiatočnej autentifikovanej požiadavky.
„Organizácia musí priorizovať záplaty tejto zraniteľnosti, pretože invaliduje základný bezpečnostný sľub virtualizácie,“ vysvetlil McCarthy v súvislosti s CVE-2025-49708 a charakterizoval ju ako vysoko dopadovú chybu vedúcu k úplnému úniku z virtuálneho stroja (VM escape).
„Úspešný exploit znamená, že útočník, ktorý získa aj nízkoprivilegovaný prístup do jedného, ne-kritického hostovaného VM, sa môže vymaniť a vykonať kód s právami SYSTEM priamo na podkladovom hostiteľskom serveri. Tento zlyhaný model izolácie znamená, že útočník potom môže získať prístup k, manipulovať s alebo zničiť dáta na každom inom VM bežiacom na tom istom hoste, vrátane kritických riadiacich serverov domény, databáz alebo produkčných aplikácií.“
Viac informácií nájdete tu:
https://thehackernews.com/2025/10/two-new-windows-zero-days-exploited-in.html