Την Τρίτη, 11 Μαρτίου 2025, η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας που διορθώνουν 57 ευπάθειες στο λογισμικό της, συμπεριλαμβανομένων έξι zero-day ευπαθειών που έχουν ήδη αξιοποιηθεί ενεργά. Από αυτές, έξι χαρακτηρίζονται ως Κρίσιμες, 50 ως Σημαντικές και μία ως Χαμηλής σοβαρότητας. Συνολικά, 23 από τις ευπάθειες επιτρέπουν απομακρυσμένη εκτέλεση κώδικα, ενώ 22 σχετίζονται με κλιμάκωση προνομίων.
Λεπτομέρειες των Zero-Day ευπαθειών
Οι έξι ευπάθειες που έχουν αξιοποιηθεί ενεργά είναι:
- CVE-2025-24983 (CVSS: 7.0): Ευπάθεια τύπου use-after-free στο υποσύστημα Win32 Kernel των Windows, που επιτρέπει σε εξουσιοδοτημένο επιτιθέμενο την τοπική κλιμάκωση προνομίων.
- CVE-2025-24984 (CVSS: 4.6): Ευπάθεια αποκάλυψης πληροφοριών στο NTFS των Windows, που επιτρέπει σε επιτιθέμενο με φυσική πρόσβαση και δυνατότητα σύνδεσης κακόβουλου USB να διαβάσει τμήματα της μνήμης heap.
- CVE-2025-24985 (CVSS: 7.8): Ευπάθεια υπερχείλισης ακέραιου στον οδηγό Fast FAT File System των Windows, που επιτρέπει σε μη εξουσιοδοτημένο επιτιθέμενο την τοπική εκτέλεση κώδικα.
- CVE-2025-24991 (CVSS: 5.5): Ευπάθεια out-of-bounds read στο NTFS των Windows, που επιτρέπει σε εξουσιοδοτημένο επιτιθέμενο την τοπική αποκάλυψη πληροφοριών.
- CVE-2025-24993 (CVSS: 7.8): Ευπάθεια υπερχείλισης buffer στη μνήμη heap στο NTFS των Windows, που επιτρέπει σε μη εξουσιοδοτημένο επιτιθέμενο την τοπική εκτέλεση κώδικα.
- CVE-2025-26633 (CVSS: 7.0): Ευπάθεια ακατάλληλης εξουδετέρωσης στο Microsoft Management Console, που επιτρέπει σε μη εξουσιοδοτημένο επιτιθέμενο την παράκαμψη χαρακτηριστικού ασφαλείας τοπικά.
Ανακάλυψη και εκμετάλλευση της CVE-2025-24983
Η εταιρεία ESET, που ανακάλυψε και ανέφερε την ευπάθεια CVE-2025-24983, εντόπισε την εκμετάλλευσή της τον Μάρτιο του 2023 μέσω ενός backdoor με την ονομασία PipeMagic σε παραβιασμένα συστήματα. Η ευπάθεια αυτή είναι τύπου use-after-free στον οδηγό Win32k και απαιτεί συνθήκη αγώνα (race condition) για να εκμεταλλευτεί.
Το PipeMagic, που ανακαλύφθηκε το 2022, είναι ένα trojan βασισμένο σε plugins και έχει στοχεύσει οργανισμούς στην Ασία και τη Σαουδική Αραβία. Το 2024, διανεμήθηκε ως ψεύτικη εφαρμογή OpenAI ChatGPT. Μία από τις μοναδικές λειτουργίες του είναι η δημιουργία ενός named pipe με τυχαίο 16-byte array, χρησιμοποιώντας τη μορφή \.\pipe\1., για τη λήψη κωδικοποιημένων payloads από τον command-and-control (C2) server, που φιλοξενείται στο Microsoft Azure.
Ευπάθειες στο σύστημα αρχείων των Windows
Τέσσερις από τις ευπάθειες επηρεάζουν βασικά στοιχεία του συστήματος αρχείων των Windows:
- CVE-2025-24985 και CVE-2025-24993: Επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα.
- CVE-2025-24984 και CVE-2025-24991: Οδηγούν σε αποκάλυψη πληροφοριών.
Η εκμετάλλευση αυτών των ευπαθειών μπορεί να επιτευχθεί μέσω κακόβουλων αρχείων VHD (Virtual Hard Disk), τα οποία, όταν ανοίγονται ή προσαρτώνται από τον χρήστη, επιτρέπουν την εκτέλεση κακόβουλου κώδικα. Οι επιτιθέμενοι έχουν χρησιμοποιήσει VHD ή VHDX αρχεία σε phishing καμπάνιες για να παρακάμψουν λύσεις antivirus.
Ευπάθεια στο Microsoft Management Console
Η ευπάθεια CVE-2025-26633 προκύπτει από τον τρόπο με τον οποίο τα αρχεία MSC χειρίζονται, επιτρέποντας σε επιτιθέμενο να παρακάμψει προστασίες φήμης αρχείων και να εκτελέσει κώδικα στο πλαίσιο του τρέχοντος χρήστη. Αυτή η δραστηριότητα έχει συνδεθεί με τον απειλητικό φορέα EncryptHub (γνωστός και ως LARVA-208).
Σύσταση για ενημέρωση
Η Υπηρεσία Κυβερνοασφάλειας και Υποδομών των ΗΠΑ (CISA) πρόσθεσε αυτές τις ευπάθειες στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV), απαιτώντας από τις ομοσπονδιακές υπηρεσίες να εφαρμόσουν τις διορθώσεις έως την 1η Απριλίου 2025.
Η Microsoft συνιστά στους χρήστες και τους διαχειριστές συστημάτων να εφαρμόσουν άμεσα τις ενημερώσεις ασφαλείας, ώστε να ελαχιστοποιήσουν τους κινδύνους από πιθανές επιθέσεις. Η έγκαιρη ενημέρωση του λογισμικού παραμένει μία από τις πιο αποτελεσματικές άμυνες ενάντια σε κυβερνοεπιθέσεις.
Πηγές: TheHackerNews, BleepingComputer
