Dvi „Windows“ pažeidžiamumo vietos – viena nulinės dienos (0-day) spraga, kurią užpuolikai žino nuo 2017 metų, ir kita – kritinė klaida, kurią „Microsoft“ neseniai bandė pataisyti, bet nesėkmingai – šiuo metu aktyviai išnaudojamos plataus masto atakose prieš įvairius interneto taikinius, praneša tyrėjai.
Nulinės dienos spraga liko nepastebėta iki kovo mėnesio, kai saugumo įmonė „Trend Micro“ paskelbė, kad ji buvo aktyviai išnaudojama nuo 2017 m. – net 11 skirtingų pažangių nuolatinių grėsmių (APT) grupių. Šios grupės, dažnai susijusios su valstybėmis, nuolat atakuoja konkrečius asmenis ar organizacijas. „Trend Micro“ teigimu, grupės naudojo šį pažeidžiamumą, tuomet vadintą ZDI-CAN-25373, kad įdiegtų įvairius žinomus išnaudojimo įrankius infrastruktūroje beveik 60 šalių, tarp jų JAV, Kanadoje, Rusijoje ir Pietų Korėjoje.
Didelio masto koordinuota operacija
Praėjus septyniems mėnesiams, „Microsoft“ vis dar nepateikė pataisos šiam pažeidžiamumui, kuris kyla iš klaidos „Windows Shortcut“ dvejetainio failo formate. Ši „Windows“ funkcija leidžia greičiau atidaryti programas ar failus, leidžiant vienu failu juos paleisti be būtinybės ieškoti jų vietos rankiniu būdu. Pastaraisiais mėnesiais pažeidžiamumo žymėjimas ZDI-CAN-25373 buvo pakeistas į CVE-2025-9491.
Ketvirtadienį saugumo įmonė „Arctic Wolf“ pranešė pastebėjusi, kad su Kinija siejama grėsmės grupė UNC-6384 išnaudoja CVE-2025-9491 atakose prieš įvairias Europos valstybes. Galutinis kenkėjiškos veiklos rezultatas – plačiai naudojamas nuotolinės prieigos trojanas „PlugX“. Norint geriau paslėpti kenkėjišką kodą, dvejetainis failas išlieka RC4 formatu užšifruotas iki paskutinio atakos etapo.
„Platus taikinių spektras įvairiose Europos šalyse per trumpą laiką rodo arba didelio masto koordinuotą žvalgybos operaciją, arba kelių paraleliai veikiančių komandų, naudojančių bendrus įrankius, bet turinčių atskirus tikslus, veiklą“, – teigia „Arctic Wolf“. „Vienodas veikimo stilius tarp skirtingų taikinių rodo centralizuotą įrankių kūrimą ir operacinės saugos standartus, net jei įgyvendinimas paskirstytas tarp kelių komandų.“
Kadangi pataisos nėra, „Windows“ naudotojai turi ribotas galimybes apsisaugoti. Veiksmingiausia priemonė – apriboti .lnk failų naudojimą iš nepatikimų šaltinių arba visiškai jį blokuoti. Tai galima padaryti nustatant, kad „Windows Explorer“ nenaudotų automatinio tokių failų atpažinimo. CVE-2025-9491 rimtumo įvertinimas – 7 iš 10.
Kitas „Windows“ pažeidžiamumas buvo pataisytas praėjusią savaitę, kai „Microsoft“ išleido neplanuotą atnaujinimą. CVE-2025-59287 rimtumo lygis – 9,8. Ši klaida yra „Windows Server Update Services“ (WSUS) sistemoje, kurią administratoriai naudoja programoms diegti, atnaujinti ar pašalinti dideliuose serverių tinkluose. „Microsoft“ anksčiau bandė pataisyti šį potencialiai savaime plintantį nuotolinio kodo vykdymo pažeidžiamumą, sukeltą serializacijos klaidos, spalio mėnesio „Patch Tuesday“ atnaujinime, tačiau viešai paskelbtas įrodymo kodas greitai parodė, kad pataisa buvo nepilna.
Apie tą patį laiką, kai „Microsoft“ išleido antrąjį pataisymą, saugumo įmonė „Huntress“ pranešė pastebėjusi WSUS klaidos išnaudojimą nuo spalio 23 d. Netrukus tą patį patvirtino ir kita įmonė – „Eye“.
Trečiadienį saugumo įmonė „Sophos“ taip pat pranešė, kad CVE-2025-59287 pažeidžiamumas buvo išnaudojamas „keliose klientų aplinkose“ nuo spalio 24 d.
„Ši veiklos banga, trukusi kelias valandas ir nukreipta prieš viešai prieinamus WSUS serverius, paveikė klientus iš įvairių industrijų ir, panašu, nebuvo tikslingos atakos“, – teigė „Sophos“. „Neaišku, ar už šios veiklos slypintys programišiai naudojo viešai prieinamą PoC, ar susikūrė savo išnaudojimo priemonę.“
Administratoriai turėtų nedelsdami patikrinti, ar jų įrenginiai nėra pažeidžiami nė vienos iš šių atakų. Nėra aišku, kada „Microsoft“ išleis pataisą CVE-2025-9491 spragai.