Po prvý raz v roku 2025 aktualizácie Patch Tuesday od Microsoftu neobsahovali opravy zneužívaných bezpečnostných zraniteľností, hoci spoločnosť priznala, že jedna z opravených chýb bola verejne známa.
Tieto záplaty riešia ohromujúcich 130 zraniteľností spolu s ďalšími 10 CVE mimo Microsoftu, ktoré sa týkajú Visual Studia, AMD a prehliadača Edge založeného na Chromiu. Z týchto je 10 hodnotených ako kritických a zvyšné sú všetky klasifikované ako dôležité.
„Jedenásťmesačná séria opráv aspoň jednej zero-day zraniteľnosti zneužívanej v reálnom svete sa tento mesiac skončila,“ povedal Satnam Narang, hlavný výskumný inžinier spoločnosti Tenable.
Päťdesiattri z týchto nedostatkov sú klasifikované ako chyby umožňujúce eskaláciu oprávnení, nasleduje 42 chýb umožňujúcich vzdialené spustenie kódu, 17 prípadov úniku informácií a 8 obchádzaní bezpečnostných funkcií. Tieto záplaty dopĺňajú dve ďalšie chyby, ktoré spoločnosť opravila v prehliadači Edge od vydania minulomesačnej aktualizácie Patch Tuesday.
Zraniteľnosť, ktorá je uvedená ako verejne známa, je chyba úniku informácií v Microsoft SQL Serveri (CVE-2025-49719, CVSS skóre: 7,5), ktorá by mohla umožniť neoprávnenému útočníkovi získať neinicializovanú pamäť.
„Útočník síce nemusí získať žiadne hodnotné informácie, ale s dávkou šťastia, vytrvalosti alebo šikovne upraveného útoku môže byť korisťou napríklad kryptografický kľúč alebo iné klenoty SQL Servera,“ uviedol Adam Barnett, hlavný softvérový inžinier spoločnosti Rapid7.
Mike Walters, prezident a spoluzakladateľ spoločnosti Action1, uviedol, že zraniteľnosť pravdepodobne vznikla v dôsledku nesprávnej validácie vstupov pri správe pamäte v SQL Serveri, čo umožňuje prístup k neinicializovanej pamäti.
„V dôsledku toho môžu útočníci získať zvyšky citlivých údajov, ako sú prihlasovacie údaje alebo reťazce pripojení,“ dodal Walters. „Ovplyvňuje to tak SQL Server engine, ako aj aplikácie používajúce OLE DB ovládače.“
Najkritickejšou chybou, ktorú Microsoft v rámci tohtomesačných aktualizácií opravil, je vzdialené spustenie kódu súvisiace s SPNEGO Extended Negotiation (NEGOEX). Sleduje sa pod označením CVE-2025-47981 a má CVSS skóre 9,8 z 10.
„Pretečenie vyrovnávacej pamäte na halde v SPNEGO Extended Negotiation vo Windows umožňuje neoprávnenému útočníkovi spustiť kód cez sieť,“ uviedol Microsoft v bezpečnostnej správe. „Útočník môže túto zraniteľnosť zneužiť odoslaním škodlivej správy na server, čo môže viesť k vzdialenému spusteniu kódu.“
Za objavenie a opravu zraniteľnosti boli uznaní anonymný výskumník a Yuki Chen. Microsoft poznamenal, že problém sa týka len klientskych verzií Windows 10 (verzia 1607 a vyššie), ak je v Group Policy Object (GPO) povolená možnosť „Network security: Allow PKU2U authentication requests to this computer to use online identities“.
„Ako vždy, vzdialené spustenie kódu je problém, ale predbežná analýza naznačuje, že táto zraniteľnosť môže byť ‘červovateľná’ – teda zneužiteľná na samoreplikujúci sa malvér, čo môže mnohým pripomenúť traumu z incidentu WannaCry,“ povedal zakladateľ a CEO watchTowr, Benjamin Harris.
„Microsoft je v požiadavkách jasný: nevyžaduje sa autentifikácia, stačí sieťový prístup, a samotný Microsoft predpokladá, že zneužitie je ‚pravdepodobné‘. Nemali by sme sa klamať – ak si túto chybu všimol súkromný sektor, útočníci o nej určite vedia. Obrancovia musia všetko odložiť, rýchlo aktualizovať systémy a vyhľadať vystavené zariadenia,“ dodal Harris.
Medzi ďalšie významné zraniteľnosti patria:
- Vzdialené spustenie kódu vo Windows KDC Proxy Service CVE-2025-49735 (CVSS: 8.1)
- Vzdialené spustenie kódu vo Windows Hyper-V CVE-2025-48822 (CVSS: 8.6)
- Tri chyby v Microsoft Office CVE-2025-49695, CVE-2025-49696, CVE-2025-49697 (všetky CVSS: 8.4)
Ben McCarthy, hlavný kyberbezpečnostný inžinier v spoločnosti Immersive, povedal:
„Čo robí CVE-2025-49735 výnimočným, je sieťová expozícia v kombinácii s tým, že nevyžaduje žiadne oprávnenia ani interakciu používateľa. Napriek vysokej zložitosti útoku ide o zraniteľnosť umožňujúcu kompromitáciu pred prihlásením, čo je mimoriadne atraktívne pre APT skupiny a štátom podporovaných aktérov.“
„Útočník musí vyhrať pretek s časom – ide o tzv. race condition, keď sa pamäť uvoľní a znovu alokuje v presne načasovanom okne – čo znamená, že spoľahlivosť útoku je zatiaľ nízka. Napriek tomu je možné takúto chybu zneužiť pomocou techník ako ‘heap grooming’.“
Ďalšie zraniteľnosti sa týkajú aj BitLockeru – Microsoft opravil päť obídení bezpečnostných funkcií:
- CVE-2025-48001
- CVE-2025-48003
- CVE-2025-48800
- CVE-2025-48804
- CVE-2025-48818 (všetky s CVSS skóre 6.8)
„Útočník by mohol túto chybu zneužiť načítaním súboru WinRE.wim, kým je systémový zväzok odomknutý, čím získa prístup k údajom šifrovaným BitLockerom,“ uviedol Microsoft k CVE-2025-48804.
Za nahlásenie týchto piatich problémov v zabudovanom šifrovacom nástroji boli ocenení výskumníci Netanel Ben Simon a Alon Leviev z tímu Microsoft Offensive Research and Security Engineering (MORSE).
„Ak by boli tieto chyby zneužité, mohli by odhaliť citlivé súbory, prihlasovacie údaje alebo umožniť narušenie integrity systému,“ uviedol Jacob Ashdown, kyberbezpečnostný inžinier v spoločnosti Immersive.
„Predstavuje to osobitné riziko najmä pre organizácie, kde môže dôjsť k strate alebo krádeži zariadení, pretože útočníci s fyzickým prístupom by mohli potenciálne obísť šifrovanie a získať citlivé údaje.“
Za zmienku tiež stojí, že 8. júl 2025 oficiálne znamená koniec podpory pre SQL Server 2012, ktorý už nebude dostávať žiadne bezpečnostné aktualizácie, pretože končí aj jeho účasť v programe Extended Security Update (ESU).
Viac informácií nájdete tu:
https://thehackernews.com/2025/07/microsoft-patches-130-vulnerabilities.html