Tehnologija

Korisnici Microsofta upozorili su na propust u podizanju privilegija

anketa.plus
Izvor: anketa.plus
Korisnici Microsofta upozorili su na propust u podizanju privilegija

Povišena ranjivost privilegija u Windows Kernelu je na vrhu liste problema za rješavanje u najnovijem mjesečnom ažuriranju zakrpe u utorak

By

  • Alex Scroxton,Security Editor

Objavljeno: 12 nov 2025 17:10

Microsoft je pretposljednju zakrpu u utorak 2025. označio ažuriranjem lakšim nego nedavno, rješavajući samo 63 uobičajene ranjivosti i izloženosti (CVE) u cijeloj svojoj paleti proizvoda – što je daleko od mnogih njegovih nedavnih padova koji su u prosjeku preko 100 – i usamljenim nultim propustom.

Praćen kao CVE-2025-62215, ovomesečni jedini nulti dan je ranjivost elevacije privilegija (EoP) u Windows kernelu koji se nalazi u jezgru Microsoftovog operativnog sistema. Ima CVSS ocjenu od samo 7,0 i nije ocijenjen kao kritičan po svojoj ozbiljnosti – međutim, primjećena je eksploatacija u divljini, iako još uvijek nije objavljen javni dokaz o konceptu.

Ben McCarthy, vodeći inženjer za sajber sigurnost u Immersiveu, objasnio je da osnovni uzrok problema proizlazi iz dvije kombinovane slabosti: jedna je stanje utrke u kojem više od jednog procesa pokušava pristupiti zajedničkim podacima i promijeniti ih istovremeno, a druga dvostruka greška u upravljanju slobodnom memorijom.

“Napadač s lokalnim pristupom s niskim privilegijama može pokrenuti posebno kreiranu aplikaciju koja više puta pokušava pokrenuti ovo stanje utrke”, objasnio je. “Cilj je navesti više niti na interakciju sa zajedničkim resursom kernela na nesinhronizovan način, zbunjujući upravljanje memorijom kernela i uzrokujući da dvaput oslobodi isti memorijski blok.

“Ovo uspješno dvostruko oslobađanje kvari hrpu kernela, omogućavajući napadaču da prepiše memoriju i otme tok izvršavanja sistema.

“Organizacije moraju dati prioritet primjeni zakrpe za ovu ranjivost,” dodao je McCarthy. “Dok CVSS rezultat 7,0 možda nije uvijek na vrhu liste zakrpa, status aktivnog eksploatacije čini ga kritičnim prioritetom.

“Uspješno iskorištavanje daje napadaču sistemske privilegije, omogućavajući im da u potpunosti zaobiđu sigurnost krajnje tačke, ukradu vjerodajnice, instaliraju rootkite i izvedu druge zlonamjerne radnje. Ovo je kritična veza u napadačevom priručniku nakon eksploatacije.”

Uticaji na poslovanje

U stvarnom svijetu, rekao je Mike Walters, predsjednik i suosnivač Action1, postoje tri ključna poslovna utjecaja koji bi potencijalno mogli proizaći iz uspješnog kompromisa putem CVE-2025-62215. Naglasio je mogućnost masovnog izlaganja vjerodajnicama koje proizilazi iz kompromitacije kritičnih servera datoteka, bočnog kretanja i primjene ransomwarea, te regulatorne, finansijske i reputacijske štete zbog curenja podataka ili drugih operativnih poremećaja.

“Eksploatacija je složena, ali funkcionalna eksploatacija koja se vidi u divljini podiže hitnost, budući da vješti glumci to mogu pouzdano koristiti oružjem u ciljanim kampanjama”, dodao je Walters.

Takođe visoko na dnevnom redu za novembar je CVE-2025-60724, RCE ranjivost u Graphics Device Interface Plus (GDI+), koja ima CVSS rezultat od 9,8. GDI+ je komponenta relativno niskog nivoa, ali je odgovoran za prikazivanje 2D grafike, slika i teksta, te stoga pruža osnovnu funkcionalnost za više Microsoftovih aplikacija – i bezbroj programa trećih strana.

Adam Barnett, vodeći softverski inženjer Rapid7, rekao je da je ovo što je bliže nultom danu koliko je to bilo moguće, i da će vjerovatno utjecati na gotovo svaku imovinu koja pokreće Microsoftov softver. “U najgorem slučaju, napadač bi mogao iskoristiti ovu ranjivost tako što će učitati zlonamjerni dokument na ranjivu web uslugu”, rekao je.

“Savjet ne precizira kontekst izvršavanja koda, ali ako se sve zvijezde poravnaju za napadača, nagrada bi mogla biti daljinsko izvršavanje koda kao Sistem putem mreže bez ikakve potrebe za postojećim uporištem. Iako ovaj vuln gotovo sigurno nije crvljiv, jasno je da je vrlo ozbiljan i sigurno je glavni prioritet kako da pristupi ovom mjesecu.”

Walters iz Action1 je dodao: “Ovo je na nivou hitne pomoći: mrežni RCE bez interakcije s korisnikom i niske složenosti napada je među najopasnijim greškama. Kompromis servera, utjecaj zakupca u sistemima s više zakupaca i potencijal za brzu masovnu eksploataciju čine ovo glavnim prioritetom.

“Iskorišćavanje može potrajati da se usavrši jer napadači moraju izgraditi pouzdane manipulacije alokatorima i interpretatorima koje zaobilaze ublažavanja poput CFG, ASLR i DEP. Ipak, greške GDI+ i raščlanjivanja slika imaju istoriju brzog naoružanja.”

Kritički hvaljene greške

Konačno, spisak za bezbednosne timove ovog meseca uključuje četiri kritične ranjivosti, koje je istakao Dastin Čajlds iz Trend Micro-ove inicijative Zero Day. Ovo su CVE-2025-30398, greška u otkrivanju informacija treće strane u Nuance PowerScribe 360; CVE-2025-60716, EoP mana u DirectX grafičkom kernelu; CVE-2025-62199, RCE nedostatak u Microsoft Office-u; i CVE-2025-62214, još jedan RCE nedostatak u Visual Studiju.

Pročitajte više o zahtjevima za sigurnost aplikacije i kodiranje

  • August Patch Tuesday rješava 107 ranjivosti

    Autor: Tom Walat

  • Osam kritičnih RCE nedostataka čine Microsoftovu najnoviju listu zakrpa u utorak

    Autor: Alex Scroxton

  • Microsoft cilja 130 ranjivosti u julskoj zakrpi u utorak

    Autor: Tom Walat

  • Juli Patch Tuesday donosi preko 130 novih nedostataka za rješavanje

    Autor: Alex Scroxton