Microsoft uzavrel rok 2025 vydaním opráv pre 56 bezpečnostných zraniteľností v rôznych produktoch naprieč platformou Windows, vrátane jednej zraniteľnosti, ktorá bola aktívne zneužívaná v reálnych útokoch.
Z týchto 56 chýb sú tri hodnotené ako kritické a 53 ako dôležité. Ďalšie dve chyby boli v čase vydania verejne známe. Ide o 29 zraniteľností umožňujúcich eskaláciu privilégií, 18 umožňujúcich vzdialené spustenie kódu, štyri zraniteľnosti úniku informácií, tri zraniteľnosti typu odmietnutie služby (DoS) a dve zraniteľnosti typu spoofing.
Celkovo Microsoft v roku 2025 opravil až 1 275 CVE, podľa údajov zostavených spoločnosťou Fortra. Satnam Narang zo spoločnosti Tenable uviedol, že rok 2025 je zároveň druhým po sebe idúcim rokom, v ktorom výrobca Windows opravil viac než 1 000 CVE. Je to tretíkrát, čo sa to stalo od zavedenia Patch Tuesday.
Aktualizácia je doplnkom k 17 nedostatkom, ktoré technologický gigant opravil vo svojom prehliadači Edge založenom na Chromiu od vydania novembrového Patch Tuesday 2025. Patria sem aj zraniteľnosti typu spoofing v Edge pre iOS (CVE-2025-62223, skóre CVSS: 4,3).
Zraniteľnosť, ktorá bola aktívne zneužívaná, je CVE-2025-62221 (skóre CVSS: 7,8), chyba typu use-after-free v ovládači Windows Cloud Files Mini Filter Driver, ktorá môže oprávnenému útočníkovi umožniť lokálnu eskaláciu privilégií a získanie oprávnení SYSTEM.
„Ovládače filtrov súborového systému, tzv. minifiltre, sa pripájajú k softvérovému zásobníku systému, zachytávajú požiadavky smerované na súborový systém a rozširujú alebo nahrádzajú funkcie poskytované pôvodným cieľom,“ uviedol Adam Barnett, hlavný softvérový inžinier v Rapid7. „Typické použitia zahŕňajú šifrovanie dát, automatizované zálohovanie, kompresiu za behu a cloudové úložiská.“
„Minifilter Cloud Files používajú OneDrive, Google Drive, iCloud a ďalšie služby, avšak ako základná súčasť Windows je prítomný aj v systéme, kde nie je nainštalovaná žiadna z týchto aplikácií.“
V súčasnosti nie je známe, ako presne je zraniteľnosť zneužívaná v reálnych útokoch a v akom kontexte, avšak úspešné zneužitie vyžaduje, aby útočník získal prístup k zraniteľnému systému iným spôsobom. Za objavenie a nahlásenie chyby boli ocenené Microsoft Threat Intelligence Center (MSTIC) a Microsoft Security Response Center (MSRC).
Podľa Mikea Waltersa, prezidenta a spoluzakladateľa spoločnosti Action1, by mohol útočník získať prístup s nízkymi oprávneniami prostredníctvom metód ako phishing, zneužitie webového prehliadača alebo inej známej zraniteľnosti vzdialeného spustenia kódu a následne ju skombinovať s CVE-2025-62221 na prevzatie kontroly nad hostiteľským systémom.
Po získaní tohto prístupu môže útočník nasadiť komponenty jadra alebo zneužiť podpísané ovládače na obídenie obranných mechanizmov a udržanie perzistencie. Zraniteľnosť môže byť tiež zneužitá na kompromitáciu celej domény v kombinácii so scenármi krádeže prihlasovacích údajov.
Zneužívanie CVE-2025-62221 viedlo k tomu, že americká Agentúra pre kybernetickú bezpečnosť a infraštruktúru (CISA) ju zaradila do katalógu známych zneužívaných zraniteľností (KEV) a nariadila federálnym civilným výkonným agentúram (FCEB), aby opravu aplikovali najneskôr do 30. decembra 2025.
Zvyšné dve zero-day zraniteľnosti sú uvedené nižšie:
- CVE-2025-54100 (skóre CVSS: 7,8) – zraniteľnosť typu command injection v systéme Windows PowerShell, ktorá umožňuje neoprávnenému útočníkovi lokálne spustiť kód
- CVE-2025-64671 (skóre CVSS: 8,4) – zraniteľnosť typu command injection v GitHub Copilot pre JetBrains, ktorá umožňuje neoprávnenému útočníkovi lokálne spustiť kód
„Ide o zraniteľnosť typu command injection v spôsobe, akým Windows PowerShell spracúva webový obsah,“ povedal Alex Vovk zo spoločnosti Action1 k CVE-2025-54100. „Umožňuje neautentifikovanému útočníkovi spustiť ľubovoľný kód v bezpečnostnom kontexte používateľa, ktorý spustí upravený príkaz PowerShellu, napríklad Invoke-WebRequest.“
„Hrozba sa stáva významnou v kombinácii s bežnými útočnými vzorcami. Útočník môže napríklad pomocou sociálneho inžinierstva presvedčiť používateľa alebo administrátora, aby spustil úryvok PowerShellu s použitím Invoke-WebRequest, čo umožní vzdialenému serveru vrátiť upravený obsah, ktorý vyvolá chybu pri parsovaní a vedie k spusteniu kódu a nasadeniu škodlivého implantátu.“
Treba poznamenať, že CVE-2025-64671 prichádza po širšej sade bezpečnostných zraniteľností súhrnne označovaných ako IDEsaster, ktoré nedávno zverejnil bezpečnostný výskumník Ari Marzouk. Tieto problémy vznikajú v dôsledku pridania agentových schopností do integrovaných vývojových prostredí (IDE), čo so sebou prináša nové bezpečnostné riziká.
Útoky využívajú prompt injection proti agentom umelej inteligencie (AI) zabudovaným v IDE a kombinujú ich so základnou vrstvou IDE, čo vedie k úniku informácií alebo spusteniu príkazov.
„Ide o ‘starý’ reťazec útokov využívajúci zraniteľný nástroj, takže nejde presne o súčasť nového útokového reťazca IDEsaster,“ povedal Marzouk, ktorému sa pripisuje objavenie a nahlásenie tejto chyby, pre The Hacker News. „Konkrétne ide o zraniteľný nástroj na ‘spúšťanie príkazov’, pri ktorom je možné obísť používateľom nakonfigurovaný zoznam povolených príkazov.“
Marzouk tiež uviedol, že voči rovnakému útoku bolo zraniteľných viacero IDE, vrátane Kiro.dev, Cursor (CVE-2025-54131), JetBrains Junie (CVE-2025-59458), Gemini CLI, Windsurf a Roo Code (CVE-2025-54377, CVE-2025-57771 a CVE-2025-65946). Okrem toho bol ako zraniteľný identifikovaný aj GitHub Copilot pre Visual Studio Code, hoci v tomto prípade mu Microsoft pridelil hodnotenie závažnosti „Medium“ bez pridelenia CVE.
„Zraniteľnosť uvádza, že je možné dosiahnuť spustenie kódu na zasiahnutých systémoch tak, že sa LLM oklame, aby spúšťal príkazy obchádzajúce ochranné mechanizmy, a že sa k nim pripoja inštrukcie v používateľských nastaveniach ‘auto-approve’,“ povedal Kev Breen, seniorný riaditeľ výskumu kybernetických hrozieb v spoločnosti Immersive.
„To sa dá dosiahnuť prostredníctvom tzv. ‘Cross Prompt Injection’, pri ktorej nie je prompt upravený používateľom, ale samotnými LLM agentmi, keď si vytvárajú vlastné prompty na základe obsahu súborov alebo dát získaných zo servera Model Context Protocol (MCP), ktorý si získava popularitu pri agentových LLM.“
Viac informácií tu:
https://thehackernews.com/2025/12/microsoft-issues-security-fixes-for-56.html
https://www.zerodayinitiative.com/blog/2025/12/9/the-december-2025-security-update-review