Ujawniono pięć aktywnie wykorzystywanych luk zero-day w systemie Windows

W maju 2025 roku badacze bezpieczeństwa (Google, CrowdStrike) oraz Microsoft ujawnili i załatali pięć aktywnie wykorzystywanych luk zero-day w systemie Windows. Najpoważniejsza z nich umożliwia zdalne wykonanie kodu (RCE) przez przeglądarkę internetową – atak ten został już zaobserwowany „na żywo” i wykorzystuje zarówno stare, jak i nowe mechanizmy systemowe.

Główny wektor ataku dotyczy CVE-2025-30397 i polega na wykorzystaniu błędu w silniku skryptowym MSHTML/Trident, obsługiwanym przez przeglądarkę Edge w trybie Internet Explorera (IE Mode). Atakujący może przygotować złośliwą stronę internetową lub załącznik (np. plik .url), który po otwarciu przez ofiarę uruchamia złośliwy kod na jej komputerze. W praktyce użytkownik musi zostać nakłoniony do kliknięcia linku lub otwarcia pliku, co często odbywa się przez phishing lub socjotechnikę. Po wykonaniu tych czynności przeglądarka uruchamia złośliwy kod, który może prowadzić do przejęcia kontroli nad systemem, kradzieży danych lub instalacji ransomware.

Szczegóły techniczne wykrytych luk CVE

CVE-2025-30397 – zdalne wykonanie kodu przez przeglądarkę (RCE)

• Mechanizm: błąd w obsłudze pamięci przez MSHTML/Trident, wykorzystywany przez Edge w trybie IE. Wymaga włączonej opcji „Allow sites to be reloaded in Internet Explorer”.
• CVSS: 7.5 (8.8 bez wymogu specjalnej konfiguracji).
• Skutek: atakujący może wykonać dowolny kod po kliknięciu złośliwego linku lub otwarciu pliku, nawet bez ponownego ładowania strony w trybie IE.

CVE-2025-32701 i CVE-2025-32706 – podniesienie uprawnień w CLFS

• Mechanizm: błędy typu use-after-free i nieprawidłowa walidacja danych w sterowniku systemu plików CLFS.
• CVSS: 7.8 dla obu.
• Skutek: Pozwalają na eskalację uprawnień do konta SYSTEM, co jest wykorzystywane m.in. przez ransomware.

CVE-2025-30400 – podniesienie uprawnień w DWM Core Library

• Mechanizm: błąd typu use-after-free w komponencie zarządzającym interfejsem graficznym Windows (Desktop Window Manager).
• CVSS: 7.8.
• Skutek: Lokalna eskalacja uprawnień do konta SYSTEM, często wykorzystywana w połączeniu z phishingiem.

CVE-2025-29824 – dodatkowa luka w CLFS

• Mechanizm: zero-day wykryty w kwietniu 2025, wykorzystywany do iniekcji kodu do procesu winlogon.exe.
• CVSS: 7.8.
• Skutek: Kradzież poświadczeń (tzw. LSASS dumping) oraz szyfrowanie danych przez ransomware.

CVE-2025-21298 – zero-click RCE w OLE (kontekst historyczny)

• Mechanizm: Błąd w bibliotece ole32.dll umożliwiający zdalne wykonanie kodu przez podgląd złośliwego e-maila w Outlooku.
• CVSS: 9.8.
• Skutek: atak bez interakcji użytkownika, ale załatany już w lutym 2025.

Skala zagrożeń

Według analiz, podatności te były wykorzystywane w atakach już od początku 2023 roku. Ich skuteczność wynika z połączenia błędów technicznych w systemie operacyjnym oraz socjotechniki wymierzonej w użytkownika. W przypadku głównej luki RCE, atak nie jest w pełni „zero-click” – użytkownik musi wykonać kilka kliknięć, jednak komunikaty systemowe mogą być tak spreparowane, by ukryć prawdziwy charakter operacji.

Microsoft wydał już poprawki bezpieczeństwa usuwające opisane podatności. Zaleca się natychmiastowe zaktualizowanie systemu Windows oraz przeglądarek, a także wdrożenie mechanizmów ograniczających możliwość otwierania nieznanych plików i linków przez użytkowników zgodnie z Microsoft Security Update Guide.

~Tomek Turba