Microsoft v januárovom Patch Tuesday opravil 12 kritických zraniteľností

Spoločnosť Microsoft vydala v januári 2025 balík opráv pre portfólio svojich produktov opravujúci 161 zraniteľností, z ktorých 58 umožňuje vzdialené vykonanie kódu. Kritické zraniteľnosti sa nachádzajú v Microsoft Digest Authentication, NEGOEX, BranchCache, Windows Remote Desktop Services, Windows OLE, Windows RMCAST, Windows NTLM V1, Azure Marketplace SaaS Resources, Microsoft Purview a Microsoft Excel a možno ich zneužiť vzdialené vykonanie škodlivého kódu, eskaláciu privilégií a získanie neoprávneného prístupu k citlivým údajom. Windows Hyper-V NT Kernel Integration VSP obsahuje aktívne zneužívané zraniteľnosti umožňujúce eskaláciu privilégií (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335).

Zraniteľné systémy:

  • .NET 8.0 installed on Linux
  • .NET 8.0 installed on Mac OS
  • .NET 8.0 installed on Windows
  • .NET 9.0 installed on Linux
  • .NET 9.0 installed on Mac OS
  • .NET 9.0 installed on Windows
  • Marketplace SaaS
  • Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2
  • Microsoft .NET Framework 3.5 AND 4.7.2
  • Microsoft .NET Framework 3.5 AND 4.8
  • Microsoft .NET Framework 3.5 AND 4.8.1
  • Microsoft .NET Framework 4.6.2
  • Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
  • Microsoft .NET Framework 4.6/4.6.2
  • Microsoft .NET Framework 4.8
  • Microsoft 365 Apps for Enterprise for 32-bit Systems
  • Microsoft 365 Apps for Enterprise for 64-bit Systems
  • Microsoft Access 2016 (32-bit edition)
  • Microsoft Access 2016 (64-bit edition)
  • Microsoft AutoUpdate for Mac
  • Microsoft Edge (Chromium-based)
  • Microsoft Excel 2016 (32-bit edition)
  • Microsoft Excel 2016 (64-bit edition)
  • Microsoft Office 2016 (32-bit edition)
  • Microsoft Office 2016 (64-bit edition)
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office LTSC 2021 for 32-bit editions
  • Microsoft Office LTSC 2021 for 64-bit editions
  • Microsoft Office LTSC 2024 for 32-bit editions
  • Microsoft Office LTSC 2024 for 64-bit editions
  • Microsoft Office LTSC for Mac 2021
  • Microsoft Office LTSC for Mac 2024
  • Microsoft Office for Android
  • Microsoft Office for Mac
  • Microsoft Office for Universal
  • Microsoft Office for iOS
  • Microsoft OneNote for Mac
  • Microsoft Outlook 2016 (32-bit edition)
  • Microsoft Outlook 2016 (64-bit edition)
  • Microsoft Outlook for Mac
  • Microsoft Purview
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server Subscription Edition
  • Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
  • Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
  • Microsoft Visual Studio 2022 version 17.10
  • Microsoft Visual Studio 2022 version 17.12
  • Microsoft Visual Studio 2022 version 17.6
  • Microsoft Visual Studio 2022 version 17.8
  • Office Online Server
  • On-Premises Data Gateway
  • Power Automate for Desktop
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 22H2 for 32-bit Systems
  • Windows 10 Version 22H2 for ARM64-based Systems
  • Windows 10 Version 22H2 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 11 Version 22H2 for ARM64-based Systems
  • Windows 11 Version 22H2 for x64-based Systems
  • Windows 11 Version 23H2 for ARM64-based Systems
  • Windows 11 Version 23H2 for x64-based Systems
  • Windows 11 Version 24H2 for ARM64-based Systems
  • Windows 11 Version 24H2 for x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022, 23H2 Edition (Server Core installation)
  • Windows Server 2025
  • Windows Server 2025 (Server Core installation)

Opis činnosti:

  1. Kritické zraniteľnosti:

CVE-2025-21298 (CVSS skóre 9,8)

Zraniteľnosť v komponente Windows OLE (Object Linking and Embeding) využívanom v rámci e-mailového klienta Microsoft Outlook by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených e-mailov mohol zneužiť na vzdialené vykonanie kódu. Úspešné zneužitie zraniteľnosti vyžaduje zobrazenie náhľadu alebo otvorenie špeciálne vytvorenej e-mailovej správy. Spoločnosť Microsoft odporúča nastaviť Microsoft Outlook, aby e-mailové správy zobrazoval v plaintextovom režime, v rámci ktorého nedochádza k zobrazeniu obrázkov, špecializovaných fontov, animácií a ďalšieho zneužiteľného obsahu. Kompletný návod môžete nájsť na stránke výrobcu.

CVE-2025-21307 (CVSS skóre 9,8)

Použitie odalokovaného miesta v pamäti v rámci ovládača Windows RMCAST (Reliable Multicast Transport) možno zaslaním špeciálne vytvorených paketov na otvorené PGM (Pragmatic General Multicast) sockety zneužiť na vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť len na systémoch, na ktorých je prítomný program počúvajúci na PGM porte. Nakoľko PGM nevykonáva autentifikáciu prichádzajúcich požiadaviek, spoločnosť Microsoft odporúča PGM porty neprevádzkovať voľne dostupné z internetu a prístup k nim limitovať prostredníctvom sieťových a bezpečnostných prvkov.

CVE-2025-21311 (CVSS skóre 9,8)

Komponent Windows NTLM V1 obsahuje kritickú zraniteľnosť, ktorá spočíva v nesprávnej implementácii mechanizmov autentifikácie. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na eskaláciu privilégiíúplné narušenie dôvernosti, integrity a dostupnosti systému. Zraniteľnosť je možné mitigovať nastavením LmCompatabilityLvl na hodnotu 5 (maximálna možná hodnota), čo na systémoch znemožní využitie starého protokolu NTLMv1. Bližšie informácie môžete nájsť na stránke výrobcu.

CVE-2025-21380 (CVSS skóre 8,8)

Bližšie nešpecifikovaná zraniteľnosť v Azure Marketplace SaaS Resources spočíva v nesprávnej implementácii mechanizmov riadenia prístupu a vzdialený autentifikovaný útočník by ju mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom. Zraniteľnosť bola automaticky opravená spoločnosťou Microsoft a nevyžaduje dodatočnú aktualizáciu systémov.

CVE-2025-21385 (CVSS skóre 8,8)

Microsoft Purview obsahuje zraniteľnosť, ktorú by vzdialený autentifikovaný útočník mohol zneužiť na realizáciu SSRF (Server Side Request Forgery) útokov a následné získanie neoprávneného prístupu k citlivým údajom. Zraniteľnosť bola automaticky opravená spoločnosťou Microsoft a nevyžaduje dodatočnú aktualizáciu systémov.

CVE-2025-21354, CVE-2025-21362 (CVSS skóre 8,4)

Kritické zraniteľnosti v Microsoft Excel spočívajú v dereferencii nedôveryhodného ukazovateľa (CVE-2025-21354) a použití odalokovaného miesta v pamäti (CVE-2025-21362). Lokálny neautentifikovaný útočník by ich mohol zneužiť na vykonanie kódu.

CVE-2025-21297, CVE-2025-21309 (CVSS skóre 8,1)

Komponent Windows Remote Desktop Services obsahuje dve kritické zraniteľnosti, ktoré možno zneužiť na vzdialené vykonanie kódu. Prvá zraniteľnosť s označením CVE-2025-21297 spočíva v použití odalokovaného miesta v pamäti. CVE-2025-21309 spočíva v ukladaní citlivých dát v nesprávne uzamknutej pamäti. Zraniteľnosti možno zneužiť pripojením sa na zraniteľné systémy v konfigurácii Remote Desktop Gateway. Úspešné zneužitie zraniteľností vyžaduje, aby útočník vyhral súbeh procesov.

CVE-2025-21294 (CVSS skóre 8,1)

Komponent Microsoft Digest Authentication obsahuje zraniteľnosť, ktorá spočíva v ukladaní citlivých údajov v nesprávne uzamknutej pamäti a umožňuje vzdialené vykonanie kódu. Zraniteľnosť možno zneužiť pripojením sa na systémy využívajúce autentifikáciu prostredníctvom Digest Authentication, pričom pre úspešné zneužitie zraniteľnosti je potrebné, aby útočník vyhral súbeh procesov.

CVE-2025-21295 (CVSS skóre 8,1)

Zraniteľnosť s identifikátorom CVE-2025-21295 sa nachádza v bezpečnostnom mechanizme SPNEGO Extended Negotiation (NEGOEX) a vzdialený neautentifikovaný útočník vy ju mohol zneužiť na vzdialené vykonanie kódu.

CVE-2025-21296 (CVSS skóre 7,5)

Zraniteľnosť v komponente BranchCache by neautentifikovaný útočník nachádzajúci sa v rovnakom sieťovom segmente mohol zneužiť na vykonanie kódu. CVE-2025-21296 spočíva v použití odalokovaného miesta v pamäti. Úspešné zneužitie zraniteľnosti vyžaduje, aby útočník vyhral súbeh procesov.

  1. Aktívne zneužívané zraniteľnosti:

CVE-2025-21333, CVE-2025-21334 a CVE-2025-21335 (CVSS skóre 7,8)

Zraniteľnosti nachádzajúce sa v ovládači NT Kernel Integration VSP, ktorý je súčasťou hypervízora Windows Hyper-V spočívajú v použití odalokovaného miesta v pamäti (CVE-2025-21334, CVE-2025-21335) a pretečení medzipamäte haldy (CVE-2025-21333). Lokálny autentifikovaný útočník by ich mohol zneužiť na eskaláciu privilégií na úroveň oprávnení SYSTEM. Zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi.

Možné škody:

  • Vzdialené vykonanie kódu
  • Eskalácia privilégií
  • Neoprávnený prístup k citlivým údajom
  • Zneprístupnenie služby (DoS)
  • Obídenie bezpečnostného prvku
  • Spoofing

Odporúčania:

Bezodkladné nasadenie januárového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje: