Οι χρήστες της Microsoft προειδοποιήθηκαν για ελάττωμα ανύψωσης προνομίων
Η Microsoft σηματοδότησε την προτελευταία ενημέρωση κώδικα Τρίτη του 2025 με μια ενημέρωση πιο ελαφριά από ό,τι αργά, αντιμετωπίζοντας απλώς 63 κοινά τρωτά σημεία και εκθέσεις (CVE) σε όλη την περιουσία προϊόντων της – πολύ μακριά από πολλές από τις πρόσφατες πτώσεις της κατά μέσο όρο πάνω από 100 – και ένα μεμονωμένο ελάττωμα zero-day. Παρακολούθηση ως CVE-2025-62215, η απλή μηδενική ημέρα αυτού του μήνα είναι μια ευπάθεια ανύψωσης προνομίων (EoP) στον πυρήνα των Windows που βρίσκεται στον πυρήνα του λειτουργικού συστήματος της Microsoft. Έχει βαθμολογία CVSS μόλις 7,0 και δεν έχει βαθμολογηθεί ως κρίσιμη ως προς τη σοβαρότητά του, ωστόσο, έχει παρατηρηθεί εκμετάλλευση στη φύση, αν και δεν έχει δημοσιοποιηθεί ακόμη καμία δημόσια απόδειξη της ιδέας. Ο Ben McCarthy, επικεφαλής μηχανικός ασφάλειας στον κυβερνοχώρο στο Immersive, εξήγησε ότι η βασική αιτία του προβλήματος πηγάζει από δύο συνδυασμένες αδυναμίες, η μία είναι μια συνθήκη αγώνα κατά την οποία περισσότερες από μία διεργασίες προσπαθούν να αποκτήσουν πρόσβαση σε κοινόχρηστα δεδομένα και να τα αλλάξουν ταυτόχρονα και η άλλη ένα διπλό σφάλμα διαχείρισης ελεύθερης μνήμης. «Ένας εισβολέας με τοπική πρόσβαση χαμηλών προνομίων μπορεί να τρέξει μια ειδικά κατασκευασμένη εφαρμογή που προσπαθεί επανειλημμένα να ενεργοποιήσει αυτήν την κατάσταση αγώνα», εξήγησε. “Ο στόχος είναι να αλληλεπιδράσουν πολλαπλά νήματα με έναν κοινόχρηστο πόρο πυρήνα με μη συγχρονισμένο τρόπο, μπερδεύοντας τη διαχείριση της μνήμης του πυρήνα και αναγκάζοντάς τον να ελευθερώσει το ίδιο μπλοκ μνήμης δύο φορές. “Αυτό το επιτυχημένο διπλό ελεύθερο καταστρέφει το σωρό του πυρήνα, επιτρέποντας στον εισβολέα να αντικαταστήσει τη μνήμη και να παραβιάσει την εκτέλεση του συστήματος.” Ο McCarthy πρόσθεσε: «Οι οργανισμοί πρέπει να δώσουν προτεραιότητα στην εφαρμογή της ενημέρωσης κώδικα για αυτήν την ευπάθεια. Ενώ η βαθμολογία CVSS 7.0 μπορεί να μην βρίσκεται πάντα στην κορυφή μιας λίστας ενημερώσεων κώδικα, η κατάσταση ενεργής εκμετάλλευσης την καθιστά κρίσιμη προτεραιότητα. Ένα επιτυχημένο exploit εκχωρεί στον εισβολέα δικαιώματα συστήματος, επιτρέποντάς του να παρακάμψει πλήρως την ασφάλεια τελικού σημείου, να κλέψει διαπιστευτήρια, να εγκαταστήσει rootkits και να εκτελέσει άλλες κακόβουλες ενέργειες. Αυτός είναι ένας κρίσιμος σύνδεσμος στο βιβλίο παιχνιδιού ενός εισβολέα μετά την εκμετάλλευση.” Στον πραγματικό κόσμο, είπε ο Mike Walters, πρόεδρος και συνιδρυτής του Action1, υπάρχουν τρεις βασικές επιχειρηματικές επιπτώσεις που θα μπορούσαν να προκύψουν από έναν επιτυχημένο συμβιβασμό μέσω του CVE-2025-62215. Ο Walters τόνισε την πιθανότητα μαζικής έκθεσης διαπιστευτηρίων που προκύπτει από την παραβίαση κρίσιμων διακομιστών αρχείων, την πλευρική μετακίνηση και την ανάπτυξη λογισμικού ransomware και τη ρυθμιστική, οικονομική και φήμη βλάβη από διαρροή δεδομένων ή άλλη λειτουργική διακοπή. «Η εκμετάλλευση είναι περίπλοκη», σημείωσε, «αλλά μια λειτουργική εκμετάλλευση που παρατηρείται στη φύση προκαλεί επείγουσα ανάγκη, καθώς οι ειδικευμένοι ηθοποιοί μπορούν να το οπλίσουν αξιόπιστα σε στοχευμένες εκστρατείες». Επίσης ψηλά στην ατζέντα για τον Νοέμβριο είναι το CVE-2025-60724, μια ευπάθεια RCE στο Graphics Device Interface Plus (GDI+), η οποία φέρει βαθμολογία CVSS 9,8. Το GDI+ είναι ένα στοιχείο σχετικά χαμηλού επιπέδου, αλλά είναι υπεύθυνο για την απόδοση δισδιάστατων γραφικών, εικόνων και κειμένου και ως εκ τούτου παρέχει βασική λειτουργικότητα πολλαπλών εφαρμογών της Microsoft – και αμέτρητα προγράμματα τρίτων, επίσης. Ο Adam Barnett, επικεφαλής μηχανικός λογισμικού Rapid7, είπε ότι αυτό ήταν τόσο κοντά σε μια ημέρα μηδέν όσο ήταν δυνατόν και πιθανόν να επηρεάσει σχεδόν κάθε στοιχείο που εκτελούσε λογισμικό της Microsoft. «Στο χειρότερο σενάριο, ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια ανεβάζοντας ένα κακόβουλο έγγραφο σε μια ευάλωτη υπηρεσία ιστού», είπε. «Η συμβουλή δεν διευκρινίζει το πλαίσιο εκτέλεσης του κώδικα, αλλά εάν όλα τα αστέρια ευθυγραμμίζονται για τον εισβολέα, το έπαθλο θα μπορούσε να είναι η απομακρυσμένη εκτέλεση κώδικα ως Σύστημα μέσω του δικτύου χωρίς καμία ανάγκη για υπάρχουσα βάση. Αν και αυτό το vuln σχεδόν σίγουρα δεν μπορεί να παραμορφωθεί, είναι σαφώς πολύ σοβαρό και σίγουρα αποτελεί κορυφαία προτεραιότητα για σχεδόν όποιον σκέφτεται πώς να προσεγγίσει τα patches αυτού του μήνα.” Ο Walters του Action1 πρόσθεσε: «Αυτό είναι σε επίπεδο έκτακτης ανάγκης: ένα RCE προσβάσιμο από το δίκτυο χωρίς αλληλεπίδραση χρήστη και χαμηλή πολυπλοκότητα επίθεσης είναι ένα από τα πιο επικίνδυνα σφάλματα. Ο συμβιβασμός του διακομιστή, ο αντίκτυπος των ενοικιαστών σε συστήματα πολλαπλών ενοικιαστών και η δυνατότητα ταχείας μαζικής εκμετάλλευσης το καθιστούν κορυφαία προτεραιότητα. “Η εκμετάλλευση μπορεί να χρειαστεί χρόνο για να τελειοποιηθεί, επειδή οι εισβολείς πρέπει να δημιουργήσουν αξιόπιστους χειρισμούς κατανεμητή και διερμηνέα που παρακάμπτουν μετριασμούς όπως CFG, ASLR και DEP. Παρόλα αυτά, τα σφάλματα GDI+ και ανάλυσης εικόνας έχουν ιστορικό γρήγορης όπλισης.” Σφάλματα που επιδοκιμάστηκαν από κριτικούς Τέλος, το docket για τις ομάδες ασφαλείας αυτόν τον μήνα περιλαμβάνει τέσσερις κρίσιμες ευπάθειες, που επισημάνθηκαν από τον Dustin Childs του Zero Day Initiative (ZDI) της Trend Micro. Αυτά είναι το CVE-2025-30398, ένα ελάττωμα αποκάλυψης πληροφοριών τρίτων στο Nuance PowerScribe 360. CVE-2025-60716, ένα ελάττωμα EoP στον πυρήνα γραφικών DirectX. CVE-2025-62199, ένα ελάττωμα RCE στο Microsoft Office. και CVE-2025-62214, ένα άλλο ελάττωμα RCE στο Visual Studio.
Δημοσιεύτηκε: 2025-11-12 12:10:00
πηγή: www.computerweekly.com
