Podsumowanie
Niniejsze wydanie Biuletynu Threat Intelligence ma formę ostrzeżenia w związku z podatnościami w popularnym oprogramowaniu: Microsoft Windows, systemach Apple oraz Safari, a także Google Chrome. Choć prawdopodobieństwo ataku z ich wykorzystaniem nie jest bardzo wysokie, to potencjalne reperkusje mogą być poważne. Producenci załatali liczne luki typu zero-day, wykorzystujące m.in. spreparowane strony internetowe — przez co użytkownicy byli narażeniu już przez samo kliknięcie w link.
Windows Patch Tuesday łata 6 aktywnie wykorzystywanych luk
Microsoft wydał marcową aktualizację Patch Tuesday, która łata 57 luk w zabezpieczeniach, w tym 6 krytycznych [1] i 6 aktywnie wykorzystywanych typu zero-day [2]. Co istotne, żadna z wykorzystywanych podatności nie jest sklasyfikowana jako krytyczna [3].
Najpoważniejsze luki
CVE-2025-24057 (CVSS 7.8) — luka umożliwiająca zdalne wykonanie kodu w pakiecie Microsoft Office
CVE-2025-24064 (CVSS 8.1) — luka umożliwiająca zdalne wykonanie kodu w usłudze nazw domen systemu Windows (DNS)
CVE-2025-24035 (CVSS 8.1) oraz CVE-2025-24045 (CVSS 8.1) — dwie luki umożliwiająca zdalne wykonanie kodu w usługach pulpitu zdalnego systemu Windows
CVE-2025-24056 (CVSS 8.8) — luka umożliwiająca zdalne wykonanie kodu w usłudze telefonii systemu Windows
CVE-2025-24084 (CVSS 8.4) — luka umożliwiająca zdalne wykonanie kodu w jądrze podsystemu Linux dla Windows (WSL2)
Aktywnie wykorzystywane podatności typu zero-day
CVE-2025-24983 (CVSS 7.0) — luka w zabezpieczeniach podsystemu jądra Windows Win32 umożliwiająca podniesienie uprawnień
CVE-2025-24984 (CVSS 4.6) — luka w zabezpieczeniach umożliwiająca ujawnienie informacji w systemie Windows NTFS
CVE-2025-24985 (CVSS 7.8) — luka w zabezpieczeniach sterownika systemu plików Windows Fast FAT umożliwiająca zdalne wykonanie kodu
CVE-2025-24991 (CVSS 5.5) — luka w zabezpieczeniach umożliwiająca ujawnienie informacji w systemie Windows NTFS
CVE-2025-24993 (CVSS 7.8) — luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu w systemie Windows NTFS
CVE-2025-26633 (CVSS 7.0) — luka w zabezpieczeniach umożliwiająca obejście funkcji zabezpieczeń konsoli Microsoft Management Console
Zalecane działania
Zaleca się zainstalować aktualizacje dla systemów:
— KB5053596 — Windows 10, version 1809, Windows Server 2019
— KB5053598 — Windows 11, version 24H2
— KB5053599 — Windows Server 2022, 23H2 Edition (Server Core installation)
— KB5053602 — Windows 11, version 22H2, Windows 11, version 23H2
— KB5053606 — Windows 10, version 21H2, Windows 10, version 22H2
— KB5053888 — Windows Server 2008 (Monthly Rollup)
— KB5053995 — Windows Server 2008 (Security-only update)
Aktywnie wykorzystywana podatność zero-day w produktach Apple
Apple wydało pilne aktualizacje zabezpieczeń, aby załatać lukę typu zero-day CVE-2025-24201 w silniku przeglądarki WebKit. Luka ta była wykorzystywana w „wyjątkowo zaawansowanych” atakach, które dotknęły użytkowników systemów iOS, macOS, iPadOS, visionOS oraz Safari [4]. Wykorzystanie tej luki jest mało prawdopodobne, lecz ze względu na brak oceny CVSS i potencjalnie poważne zagrożenie dla bezpieczeństwa informacji, warto możliwie szybko zaktualizować produkty Apple.
Przebieg ataku
Omawiana luka pozwala wykorzystać spreparowaną stronę internetową, aby wyjść poza sandbox Web Content. W efekcie możliwe jest nieautoryzowane działanie na urządzeniach ofiar. Ataki były skierowane na konkretne osoby, głównie na wersje iOS sprzed 17.2, i obejmowały techniki takie jak out-of-bounds write, które umożliwiały manipulację danymi na urządzeniach.
Zalecane działania
Zaleca się zainstalować najnowsze aktualizacje zabezpieczeń dla: iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 oraz Safari 18.3.1.
W atakach wykorzystywano specjalnie spreparowane strony. W związku z tym zaleca się informowanie użytkowników o zagrożeniach wynikających z klikania w linki podejrzane lub pochodzące z nieznanych źródeł.
Seria podatności w Chrome o wysokim ryzyku
Google poinformowało o załataniu 5 podatności o wysokim ryzyku w przeglądarce Chrome. Jedną z nich jest luka zero-day CVE-2025-24201, którą wykorzystywano w atakach kierowanych w użytkowników produktów Apple. Błędy wykryto w silniku V8 oraz w narzędziu inspekcji stron. Atakujący mogli je wykorzystać przez odpowiednio spreparowane strony [5].
Zaleca się aktualizację przeglądarki:
— Linux: do wersji 134.0.6998.88 lub nowszej
— Mac: do wersji 134.0.6998.88/.89 lub nowszej
— Windows: do wersji 134.0.6998.88/.89 lub nowszej
Opracowanie: Mateusz Rakowski
Threat Intelligence
Nr 2, marzec 2025Niniejszy biuletyn jest przeglądem bieżących zagrożeń i technik stosowanych w cyberatakach, skierowanym do wszystkich użytkowników systemów IT. Zachęcamy do jego udostępniania, gdyż podnoszenie świadomości jest kluczowe dla zapewnienia bezpieczeństwa informacji.
Źródła:
[1] https://msrc.microsoft.com/update-guide/releaseNote/2025-Mar
[2] https://www.cisa.gov/news-events/alerts/2025/03/11/cisa-adds-six-known-exploited-vulnerabilities-catalog
[3] https://isc.sans.edu/diary/Microsoft%20Patch%20Tuesday%3A%20March%202025/31756
[4] https://support.apple.com/en-us/122281
[5] https://chromereleases.googleblog.com/