Dwie groźne luki w Windows aktywnie wykorzystywane. Jedna to 8-letni zero-day bez łatki
Badacze bezpieczeństwa biją na alarm w sprawie dwóch poważnych luk w systemie Windows, które są obecnie aktywnie i na szeroką skalę wykorzystywane w atakach.
Jak donosi serwis ArsTechnica, jedna z luk to krytyczna podatność, którą Microsoft niedawno próbował nieudolnie załatać. Druga to zero-day, który był wykorzystywany przez grupy hakerskie powiązane z rządami od co najmniej… 2017 roku i do dziś nie ma na to stosownej poprawki!
Groźniejsza i bardziej niepokojąca jest podatność zero-day, śledzona obecnie jako CVE-2025-9491. To błąd w obsłudze formatu skrótów Windows (.lnk). Luka została publicznie ujawniona w marcu 2025 roku przez Trend Micro, które odkryło, że była ona aktywnie wykorzystywana przez co najmniej 11 różnych grup hakerskich (APT) od 2017 roku do instalowania trojanów i oprogramowania szpiegującego. Mimo że od odkrycia minęło siedem miesięcy, Microsoft wciąż nie wydał na nią oficjalnej łaty bezpieczeństwa.
W ostatnich dniach firma Arctic Wolf zgłosiła nową, zmasowaną kampanię wykorzystującą właśnie tę lukę. Atakujący, prawdopodobnie powiązani z Chinami, używają jej do infekowania celów w Europie popularnym trojanem zdalnego dostępu (RAT) o nazwie PlugX. Z powodu braku łatki, jedyną skuteczną metodą obrony jest ręczne blokowanie lub ograniczanie przez administratorów użycia plików .lnk z niezaufanych źródeł.
Druga aktywnie wykorzystywana podatność to CVE-2025-59287, krytyczna (9.8/10) luka w usłudze Windows Server Update Services (WSUS), czyli narzędziu, którego administratorzy używają do zarządzania aktualizacjami w firmach. Błąd ten umożliwia zdalne wykonanie kodu (RCE) i jest potencjalnie zdolny do samodzielnego rozprzestrzeniania się w sieci.
Problem w tym, że Microsoft próbował załatać tę dziurę podczas październikowego „Patch Tuesday”, ale zrobił to nieskutecznie. Publicznie dostępny kod (PoC) szybko udowodnił, że poprawka jest niekompletna. Hakerzy natychmiast to wykorzystali. Firmy bezpieczeństwa, jak Huntress i Sophos, potwierdziły, że obserwują masowe ataki na serwery WSUS od 23-24 października. Microsoft był zmuszony do wydania drugiej, awaryjnej łatki poza standardowym harmonogramem, aby ostatecznie zamknąć dziurę.
Administratorzy systemów Windows powinni natychmiast zweryfikować, czy ich serwery WSUS mają zainstalowaną drugą, poprawną aktualizację. W przypadku luki zero-day w plikach .lnk, zarówno administratorzy, jak i zwykli użytkownicy, muszą zachować szczególną ostrożność i czekać na ruch ze strony Microsoftu, który do tej pory nie podał daty wydania poprawki.
Koniec z technicznym bełkotem. Aktualizacje Windows 11 będą bardziej zrozumiałe
