Microsoft v utorok (11.11.2025) vydal záplaty pre 63 nových bezpečnostných zraniteľností identifikovaných v jeho softvéri, vrátane jednej, ktorá je aktívne zneužívaná “vo voľnej prírode”.
Zo 63 chýb sú štyri ohodnotené ako Kritické a 59 je ohodnotených ako Dôležité pokiaľ ide o závažnosť. Dvadsaťdeväť z týchto zraniteľností súvisí so zvýšením oprávnení, nasleduje 16 vzdialeného spustenia kódu (RCE), 11 zverejnení informácií, tri odmietnutia služby (DoS), dve obchádzania bezpečnostných funkcií a dve spoofingové chyby.
Záplaty sú doplnkom k 27 zraniteľnostiam, ktoré výrobca Windowsu riešil vo svojom prehliadači založenom na Chromiu (Edge) od vydania októbrovej Patch Tuesday aktualizácie 2025.
Zero-day zraniteľnosť, ktorá bola v utorkovej aktualizácii uvedená ako zneužívaná, je CVE-2025-62215 (CVSS skóre: 7,0), chyba zvýšenia oprávnení v Windows kerneli. Microsoft Threat Intelligence Center (MSTIC) a Microsoft Security Response Center (MSRC) boli uvedené ako objavitelia a oznamovatelia problému.
„Súbežné vykonávanie pomocou zdieľaného zdroja s nesprávnou synchronizáciou (‘race condition’) vo Windows kerneli umožňuje autorizovanému útočníkovi lokálne zvýšiť oprávnenia,“ uviedla spoločnosť v oznámení.
To znamená, že úspešné zneužitie závisí od útočníka, ktorý už získal oporu v systéme, aby dokázal vyhrať túto pretekovú podmienku. Keď je táto podmienka splnená, môže to útočníkovi umožniť získať oprávnenia SYSTEM.
„Útočník s lokálnym prístupom s nízkymi oprávneniami môže spustiť špeciálne vytvorenú aplikáciu, ktorá sa opakovane pokúša vyvolať túto pretekovú podmienku,“ povedal Ben McCarthy, hlavný inžinier kybernetickej bezpečnosti v Immersive.
„Cieľom je prinútiť viaceré vlákna, aby interagovali so zdieľaným kernelovým zdrojom nesynchronizovaným spôsobom, čím sa zmätie správa pamäte jadra a spôsobí uvoľnenie toho istého pamäťového bloku dvakrát. Toto úspešné ‘double free’ poškodí kernelový heap, čo útočníkovi umožní prepísať pamäť a prevziať tok vykonávania systému.“
V súčasnosti nie je známe, ako je táto zraniteľnosť zneužívaná a kým, ale odhaduje sa, že je používaná ako súčasť post-exploitačnej aktivity na zvýšenie oprávnení po získaní počiatočného prístupu iným spôsobom, ako je sociálne inžinierstvo, phishing alebo zneužitie inej zraniteľnosti, uviedol Satnam Narang, senior výskumný inžinier v Tenable.
„Keď je táto preteková podmienka v kerneli spojená s inými chybami, je kritická: RCE alebo útek zo sandboxu môže poskytnúť lokálne spustenie kódu potrebné na premenenie vzdialeného útoku na úplné prevzatie systému SYSTEM, a počiatočná nízko-privilegovaná opora môže byť eskalovaná na získanie prihlasovacích údajov a laterálne presuny,“ povedal Mike Walters, prezident a spoluzakladateľ Action1.
Ako súčasť aktualizácií boli tiež opravené dve chyby pretečenia vyrovnávacej pamäte (heap-based buffer overflow) v grafickej komponente Microsoftu (CVE-2025-60724, CVSS skóre: 9,8) a v GUI Windows Subsystem for Linux (CVE-2025-62220, CVSS skóre: 8,8), ktoré by mohli viesť k vzdialenému spusteniu kódu.
Ďalšou významnou zraniteľnosťou je chyba zvýšenia oprávnení vo Windows Kerberose s vysokou závažnosťou (CVE-2025-60704, CVSS skóre: 7,5), ktorá využíva chýbajúci kryptografický krok na získanie administrátorských oprávnení. Zraniteľnosť dostala kódové označenie CheckSum od spoločnosti Silverfort.
„Útočník sa musí zasunúť do logickej sieťovej cesty medzi cieľom a zdrojom, ktorý obeť požaduje, aby mohol čítať alebo upravovať sieťovú komunikáciu,“ uviedol Microsoft. „Neautorizovaný útočník musí počkať, kým používateľ iniciuje spojenie.“
Výskumníci Silverfortu Eliran Partush a Dor Segal, ktorí túto nedokonalosť objavili, ju opísali ako zraniteľnosť Kerberos constrained delegation, ktorá umožňuje útočníkovi vydávať sa za ľubovoľných používateľov a získať kontrolu nad celou doménou pomocou adversary-in-the-middle (AitM) útoku.
Útočník, ktorý dokáže úspešne zneužiť túto chybu, môže eskalovať oprávnenia a laterálne sa presúvať na ďalšie stroje v organizácii. Ešte znepokojujúcejšie je, že hrozboví aktéri by tiež mohli získať schopnosť vydávať sa za ktoréhokoľvek používateľa v spoločnosti, čo im umožní neobmedzený prístup alebo stať sa doménovým administrátorom.
„Akákoľvek organizácia používajúca Active Directory s povolenou schopnosťou Kerberos delegation je týmto ovplyvnená,“ uviedol Silverfort. „Pretože Kerberos delegácia je funkcia v rámci Active Directory, útočník potrebuje počiatočný prístup do prostredia s kompromitovanými prihlasovacími údajmi.“
Viac informácií tu:
https://thehackernews.com/2025/11/microsoft-fixes-63-security-flaws.html