Microsoft v utorok 13.5.2025 vydal opravy celkovo 78 bezpečnostných zraniteľností vo svojom softvéri, vrátane piatich zero-day chýb, ktoré sú aktívne zneužívané v praxi.
Z celkového počtu 78 opravených chýb je 11 označených ako kritických, 66 ako dôležitých a 1 ako menej závažná. Medzi nimi je 28 zraniteľností, ktoré umožňujú vzdialené spustenie kódu, 21 eskalácií oprávnení a 16 únikov informácií.
Tieto opravy dopĺňa ďalších osem bezpečnostných chýb, ktoré spoločnosť opravila vo svojom prehliadači Edge postavenom na Chromiu od vydania minulomesačnej aktualizácie Patch Tuesday.
Päť zraniteľností, ktoré boli aktívne zneužívané v praxi, je nasledovných:
CVE-2025-30397 (CVSS skóre: 7.5) – zraniteľnosť spôsobená poškodením pamäte v scripting engine
CVE-2025-30400 (CVSS skóre: 7.8) – eskalácia oprávnení v knižnici Microsoft Desktop Window Manager (DWM) Core
CVE-2025-32701 (CVSS skóre: 7.8) – eskalácia oprávnení v ovládači Windows Common Log File System (CLFS)
CVE-2025-32706 (CVSS skóre: 7.8) – eskalácia oprávnení v ovládači Windows Common Log File System
CVE-2025-32709 (CVSS skóre: 7.8) – eskalácia oprávnení v ovládači Windows Ancillary Function Driver pre WinSock
Prvé tri chyby pripísal Microsoft svojmu tímu pre hrozby. Benoit Sevens z tímu Google Threat Intelligence Group a výskumný tím CrowdStrike Advanced Research boli uznaní za objavenie CVE-2025-32706. Neznámy výskumník bol uvedený ako zdroj pre CVE-2025-32709.
„Ďalšia zero-day zraniteľnosť bola identifikovaná v Microsoft Scripting Engine, kľúčovej súčasti používanou v Internet Exploreri a v IE móde v Microsoft Edge,“ uviedol Alex Vovk, CEO a spoluzakladateľ Action1, o CVE-2025-30397.
„Útočníci môžu zneužívať túto chybu cez škodlivú webovú stránku alebo skript, ktorý spôsobí nesprávnu interpretáciu typov objektov skriptovacím enginom, čo vedie k poškodeniu pamäte a spusteniu ľubovoľného kódu v kontexte aktuálne prihláseného používateľa. Ak má používateľ administrátorské oprávnenia, útočníci môžu získať úplnú kontrolu nad systémom – vrátane krádeže údajov, inštalácie malvéru a pohybu v rámci siete.“
CVE-2025-30400 je už tretia chyba eskalácie oprávnení v knižnici DWM, ktorá bola zneužitá v praxi od roku 2023. V máji 2024 vydal Microsoft opravy na CVE-2024-30051, ktorú spoločnosť Kaspersky identifikovala ako využívanú pri šírení malvéru QakBot (známeho aj ako Qwaking Mantis).
„Od roku 2022 Patch Tuesday adresoval 26 zraniteľností typu eskalácia oprávnení v DWM,“ uviedol Satnam Narang, hlavný výskumný inžinier spoločnosti Tenable vo vyhlásení pre The Hacker News.
„V apríli 2025 boli napríklad opravené až piati chyby eskalácie oprávnení v DWM knižnici. Pred CVE-2025-30400 boli ako zero-day zneužité len dve chyby v DWM – CVE-2024-30051 v roku 2024 a CVE-2023-36033 v roku 2023.“
CVE-2025-32701 a CVE-2025-32706 sú siedmou a ôsmou chybou eskalácie oprávnení, ktoré boli objavené v komponente CLFS a zneužité v reálnych útokoch od roku 2022. Minulý mesiac Microsoft oznámil, že CVE-2025-29824 bola zneužitá v obmedzených útokoch cielených na spoločnosti v USA, Venezuele, Španielsku a Saudskej Arábii.
CVE-2025-29824 bola taktiež podľa spoločnosti Symantec (vo vlastníctve Broadcomu) zneužitá ako zero-day hrozbou aktérmi spojenými s ransomvérovou skupinou Play, ktorí cielili na nemenovanú organizáciu v USA.
CVE-2025-32709 je tretia chyba eskalácie oprávnení v ovládači Ancillary Function Driver pre WinSock, ktorá bola zneužitá počas jedného roka, po CVE-2024-38193 a CVE-2025-21418. Za zneužitie CVE-2024-38193 je zodpovedná severokórejská skupina Lazarus.
Vývoj situácie prinútil americkú agentúru CISA zaradiť všetkých päť týchto zraniteľností do katalógu známych zneužívaných zraniteľností (KEV), čo znamená, že federálne agentúry musia nainštalovať opravy najneskôr do 3. júna 2025.
Aktualizácia Patch Tuesday od Microsoftu zároveň rieši aj chybu eskalácie oprávnení v Microsoft Defender for Endpoint pre Linux (CVE-2025-26684, CVSS skóre: 6.7), ktorá by mohla oprávnenému útočníkovi umožniť lokálnu eskaláciu oprávnení.
Výskumník Rich Mirch zo spoločnosti Stratascale, jeden z dvoch výskumníkov, ktorí chybu nahlásili, uviedol, že problém spočíva v pomocnom skripte v Pythone, ktorý obsahuje funkciu „grab_java_version()“ určenú na zistenie verzie Java Runtime Environment (JRE).
„Funkcia zisťuje umiestnenie binárky Java na disku cez symbolický odkaz /proc//exe a následne vykoná príkaz java -version,“ vysvetlil Mirch. „Problém je, že binárka Java môže byť spustená z nedôveryhodného umiestnenia. Lokálny nepovolený používateľ môže vytvoriť proces s názvom java alebo javaw, ktorý sa nakoniec spustí s root oprávneniami.“
Ďalšou významnou chybou je spoofing zraniteľnosť v Microsoft Defender for Identity (CVE-2025-26685, CVSS skóre: 6.5), ktorá umožňuje útočníkovi s prístupom k lokálnej sieti vykonať spoofing na priľahlej sieti.
„Funkcia detekcie laterálneho pohybu môže byť sama zneužitá útočníkom na získanie NTLM hashu,“ uviedol Adam Barnett, hlavný softvérový inžinier spoločnosti Rapid7. „V takom prípade by kompromitované prihlasovacie údaje patrili účtu služby Active Directory a útok sa spolieha na prechod z Kerberosu na NTLM.“
Zraniteľnosť s najvyššou závažnosťou je CVE-2025-29813 (CVSS skóre: 10.0), ide o chybu eskalácie oprávnení v Azure DevOps Server, ktorá umožňuje neautorizovanému útočníkovi získať oprávnenia cez sieť. Microsoft uviedol, že nedostatok bol už opravený v cloudovej infraštruktúre a zákazníci nemusia vykonávať žiadne kroky.
Ďalšie informácie je možné nájsť na stránkach: