Η Microsoft κυκλοφόρησε τις ενημερώσεις ασφαλείας για τα Windows χθες και αποκάλυψε σήμερα ότι οι ενημερώσεις περιλαμβάνουν ένα patch για ένα τεύχος 0 ημερών που εκμεταλλεύεται στην άγρια φύση.
Η ευπάθεια - Windows Common File File System Eventation of Privilege Pulnerability - παρακολουθείται ωςCVE-2025-29824.
Σημαντικές πληροφορίες:
- Το ζήτημα επηρεάζει τις πιο υποστηριζόμενες εκδόσεις διακομιστή και πελάτη των Windows, συμπεριλαμβανομένων των Windows 10, Windows 11 και Windows Server 2025.
- Η Microsoft σημειώνει ότι η εκμετάλλευση δεν λειτουργεί στα Windows 11, έκδοση 24H2.
- Πρόκειται για ένα ζήτημα ασφαλείας χωρίς χρήση που μπορεί να εκμεταλλευτεί για τοπικές επιθέσεις ανύψωσης.
- Η επίθεση δεν απαιτεί αλληλεπίδραση χρήστη.
- Ο επιτιθέμενος μπορεί να αποκτήσει προνόμια συστήματος κατά την επιτυχή εκμετάλλευση.
Η Microsoft σημειώνει ότι γνωρίζει περιορισμένες επιθέσεις. Αναφέρει στόχους στον τομέα της πληροφορικής και των ακινήτων στις Ηνωμένες Πολιτείες, στον χρηματοπιστωτικό τομέα της Βενεζουέλας, μιας ισπανικής εταιρείας λογισμικού και στον τομέα του λιανικού εμπορίου στη Σαουδική Αραβία ειδικά σε ειδική ανακοίνωσηΙστοσελίδα ασφαλείας.
Η εγκατάσταση της ενημέρωσης προστατεύει τα συστήματα έναντι των εκμεταλλεύσεων. Η καθοδήγηση της Microsoft περιλαμβάνει μια δυσοίωνη σημείωση που αποκαλύπτει ότι η εταιρεία καθυστερεί το έμπλαστρο για τα Windows 10 Systems. Δεν παρέχει εξήγηση για την καθυστέρηση. Οι επηρεαζόμενοι χρήστες και οι διαχειριστές καλούνται να παρακολουθούν το επίσημο CVEMicrosoft"S MSRCΙστοσελίδα για ενημερώσεις σχετικά με την ανάπτυξη του Patch στα Windows 10 Systems.
Οι οικιακοί χρήστες μπορούν να χρησιμοποιούν το Windows Update για να εγκαταστήσουν το patch αμέσως στα Windows 11. Αυτό γίνεται μέσω ρυθμίσεων> Ενημέρωση των Windows. Σημειώστε ότι η επανεκκίνηση του συστήματος είναι απαραίτητη για την ολοκλήρωση της εγκατάστασης της ενημέρωσης ασφαλείας.
Από την τεχνική πλευρά, η ευπάθεια βρίσκεται στο πρόγραμμα οδήγησης πυρήνα του κοινού συστήματος αρχείων καταγραφής (CLFS) σύμφωνα με τη Microsoft. Η εταιρεία λέει ότι δεν έχει καθορίσει τον αρχικό φορέα επίθεσης, αλλά ανακάλυψε "μερικές αξιοσημείωτες συμπεριφορές προ-εκμετάλλευσης από το Storm-2460".
Χαίρομαι που είναι γνωστό: Το Storm 2460, το οποίο είναι πιο γνωστό ως Ransomexx, είναι μια περιβόητη ομάδα ransomware.
Η Microsoft παρατήρησε την ακόλουθη συμπεριφορά σε πολλές περιπτώσεις:
- Ο ηθοποιός απειλής χρησιμοποιεί το εργαλείο Certutil για να κατεβάσει ένα κακόβουλο αρχείο από μια νόμιμη αλλά διακυβευόμενη ιστοσελίδα τρίτου μέρους.
- Το αρχείο που κατεβάστηκε ήταν ένα κακόβουλο αρχείο MSBUILD.
- Το εν λόγω κακόβουλο λογισμικό πηγαίνει από το όνομα Pipemagic, το οποίο είναι γνωστό από το 2023.
- Μετά την ανάπτυξη του κακόβουλου λογισμικού, εκμεταλλεύεται την ευπάθεια που περιγράφεται σε αυτόν τον οδηγό για την ένεση της διαδικασίας σε διαδικασίες συστήματος.
Μία από τις δραστηριότητες του κακόβουλου λογισμικού στο σύστημα χρηστών είναι η απόρριψη και η ανάλυση της μνήμης LSAS για να αποκτήσετε διαπιστευτήρια χρήστη. Η δραστηριότητα Ransomware ακολούθησε στα συστήματα στόχου, κυρίως στην κρυπτογράφηση αρχείων και στην προσθήκη τυχαίων επεκτάσεων.
Λέξεις κλεισίματος
Η Microsoft συνιστά να εγκαταστήσετε αμέσως τα μπαλώματα ασφαλείας των Windows για την προστασία των συστημάτων από τις προσπάθειες εκμετάλλευσης. Η καθυστέρηση στα Windows 10 είναι ατυχής, καθώς σημαίνει ότι τα συστήματα παραμένουν ευάλωτα σε επιθέσεις έως ότου η Microsoft απελευθερώσει το έμπλαστρο για το σύστημα.
Τώρα εσύ: Πότε εγκαθιστάτε ενημερώσεις στα συστήματά σας; Εγκαταστήσατε ήδη τις ενημερώσεις ασφαλείας του Απριλίου 2025;
Μάθετε περισσότερα:Πώς να προστατεύσετε το Mac σας από κακόβουλο λογισμικό, ιούς και ransomware