8 zero-day i krytyczne podatności
Patch Tuesday Microsoftu jest cykliczną aktualizacją, podczas której firma naprawia wykryte błędy w oprogramowaniu. Styczniowa aktualizacja naprawia m.in. 40 luk związanych z podnoszeniem uprawnień, 58 luk umożliwiających zdalne wykonanie kodu oraz 24 podatności, które mogą prowadzić do ujawnienia poufnych informacji.
Jednym z istotnych elementów tej aktualizacji są luki zero-day, czyli podatności ujawnione lub wykorzystywane przed wydaniem oficjalnej poprawki. W styczniu 2025 roku Microsoft zidentyfikował osiem takich luk, z czego trzy były już aktywnie eksploatowane:
CVE-2025-21333
CVE-2025-21334
CVE-2025-21335
Wszystkie trzy dotyczą podniesienia uprawnień w Windows Hyper-V. Atakujący mogli uzyskać uprawnienia systemowe na urządzeniach z systemem Windows, co zwiększa ryzyko przejęcia pełnej kontroli nad systemem. Microsoft nie ujawnił szczegółów dotyczących metod wykorzystania tych luk, ale wskazano, że zgłoszenia zostały dokonane anonimowo.
Publicznie ujawnione podatności
Oprócz aktywnie wykorzystywanych luk, Microsoft naprawił także pięć publicznie ujawnionych podatności zero-day. Jedną z nich jest CVE-2025-21275, która dotyczy instalatora pakietów aplikacji systemu Windows. Luka ta pozwalała potencjalnym atakującym na uzyskanie uprawnień systemowych, co mogło prowadzić do przejęcia kontroli nad urządzeniem.
Inna ważna podatność, CVE-2025-21308, związana była z motywami systemu Windows. Cyberprzestępcy mogli wykorzystać specjalnie spreparowane pliki motywów, aby skłonić system do wysyłania poświadczeń NTLM do zdalnego serwera. Atakujący mogli wówczas złamać te poświadczenia lub użyć ich w atakach typu pass-the-hash. Microsoft wskazuje, że ryzyko można zmniejszyć poprzez wyłączenie NTLM lub zastosowanie odpowiednich zasad ograniczających wychodzący ruch NTLM.
Inne naprawione luki i reakcje branży
Styczniowa aktualizacja obejmuje także szereg innych luk w zabezpieczeniach, które dotyczyły m.in. Microsoft Access, Internet Explorera czy Windows Hello. Ważne jest, że poprawki objęły także podatności umożliwiające zdalne wykonanie kodu w aplikacjach pakietu Office, takich jak Excel, OneNote i SharePoint.
Aktualizacja Microsoftu to nie jedyna istotna poprawka wydana w styczniu 2025 roku. W tym samym czasie swoje łatki udostępniły także inne firmy:
Adobe zaktualizowało zabezpieczenia w programach Photoshop, Illustrator i Animate.
Cisco opublikowało aktualizacje dotyczące m.in. Cisco ThousandEyes Endpoint Agent.
Ivanti wydało łatki dla podatności zero-day w Connect Secure.
Fortinet opublikował poprawki dla luk w FortiOS i FortiProxy, które były wykorzystywane od listopada 2024 roku.
Warto również wspomnieć o aktualizacjach od GitHub, Moxa, ProjectDiscovery, SAP, SonicWall i Zyxel, które również wprowadziły zmiany w swoich produktach, zwiększając poziom bezpieczeństwa użytkowników.
Znaczenie szybkiego wdrażania poprawek
Styczniowy Patch Tuesday po raz kolejny podkreśla, jak ważne jest szybkie wdrażanie aktualizacji zabezpieczeń. Cyberprzestępcy coraz częściej wykorzystują luki zero-day, co sprawia, że systemy, które nie są na bieżąco aktualizowane, stają się łatwym celem ataków.
Eksperci zalecają organizacjom regularne monitorowanie wydawanych przez Microsoft poprawek oraz niezwłoczne wdrażanie dostępnych aktualizacji. W przypadku większych środowisk IT warto rozważyć także dodatkowe mechanizmy ochrony, takie jak systemy wykrywania i reagowania na zagrożenia (EDR) czy wdrażanie polityk Zero Trust.
