Februar 2025. godine donosi novu seriju zakrpa u okviru Microsoftovog Patch Tuesday-a, a među 56 ispravljenih ranjivosti nalaze se dvije zero-days- CVE-2025-21418 i CVE-2025-21391 – koje su bile aktivno eksploatisane .
CVE-2025-21418 i CVE-2025-21391
CVE-2025-21418 je ranjivost u Windows Ancillary Function Driver (AFD.sys), koji komunicira s Windows Sockets API-jem, omogućavajući aplikacijama na Windowsu da se povežu na internet. Ova ranjivost može biti iskorištena od strane napadača kako bi se podigle privilegije na ciljanom računaru.
„Autentifikovani korisnik mora pokrenuti posebno kreirani program koji omogućava izvršavanje koda s privilegijama SYSTEM-a. Zbog toga se ovakve greške obično kombinuju s greškama u izvršenju koda kako bi se preuzeo sistem,“ rekao je Dustin Childs, šef za svjest o prijetnjama u Trend Micro Zero Day Initiative.
Satnam Narang, viši istraživač u Tenable-u, dodaje da je od 2022. godine bilo devet ranjivosti za podizanje privilegija u Ancillary Function Driveru za WinSock, a samo je jedna od tih ranjivosti bila iskorištena u stvarnom svijetu kao zero-days(CVE-2024-38193).
„Prema izvještajima, CVE-2024-38193 je iskorišten od strane sjevernokorejske APT grupe poznate kao Lazarus Group (takođe poznata kao Hidden Cobra ili Diamond Sleet) za implementaciju nove verzije FudModule rootkita kako bi održali prisutnost i neprepoznavanje na kompromitovanim sistemima. Trenutno nije jasno je li CVE-2025-21418 takođe iskorišten od strane Lazarus grupe,“ dodao je.
CVE-2025-21391 utječe na Windows Storage u različitim verzijama Windows i Windows Server sistema. Ranjivost omogućava napadačima podizanje privilegija, prema Microsoftu, omogućujući im brisanje ciljanih fajlova na sistemu, što može dovesti do onemogućavanja usluga.
Međutim, očigledno, može takođe dovesti do eskalacije privilegija – kako je to opisao istraživač ZDI Simon Zuckerbraun.
„Iako smo slične probleme vidjeli i ranije, ovo izgleda kao prvi put da je ova tehnika iskorištena u stvarnom svijetu. Takođe je vjerojatno povezana s greškom u izvršenju koda kako bi se u potpunosti preuzeo sistem,“ komentarisao je Childs i savjetovao korisnicima da brzo testiraju i implementiraju zakrpu za ovu ranjivost.
Dvije iskorištavane zero-days su dodane u katalog poznatih iskorištavanih ranjivosti (CISA).
Ostale ranjivosti koje vrijedi spomenuti
CVE-2025-21194, ranjivost koja omogućava zaobilaženje sigurnosnih funkcija na Microsoft Surface laptopima, te CVE-2025-21377, ranjivost koja omogućava otkrivanje NTLMv2 haša koji bi napadači mogli iskoristiti za autentifikaciju kao korisnik, označene su kao “javne”.
Prema Microsoftu, druga ranjivost ima veće šanse da bude iskorištena. „Organizacije koje koriste Windows sisteme i ne oslanjaju se isključivo na Kerberos za autentifikaciju, izložene su riziku,“ rekao je Mike Walters, predsjednik Action1.
CVE-2025-21376, kritična ranjivost za daljinsko izvršenje koda koja proizlazi iz nekoliko slabosti, mogla bi biti iskorištena od strane neautentifikovanih napadača slanjem posebno kreiranog zahtjeva na ranjivi Windows Lightweight Directory Access Protocol (LDAP) server.
„Budući da nema interakcije korisnika, ovo čini grešku potencijalno ‘wormable’ između pogođenih LDAP servera,“ napomenuo je Childs. „Microsoft ovu ranjivost označava kao ‘vjerojatna iskorištavanja’, pa iako se ovo možda neće dogoditi uskoro, trebalo bi je tretirati kao predstojeće iskorištavanje.“
Izvor:Help Net Security
