Microsoft v rámci februárového Patch Tuesday opravil 4 kritické zraniteľnosti

February 17, 2025

Spoločnosť Microsoft vydala vo februári 2025 balík opráv pre portfólio svojich produktov opravujúci 61 zraniteľností, z ktorých 26 umožňuje vzdialené vykonanie kódu. Kritické zraniteľnosti nachádzajúce sa v produktoch Microsoft Dynamics 365 Sales a Microsoft Excel a komponentoch Windows Lightweight Directory Access Protocol (LDAP) a DHCP Client Service možno zneužiť na eskaláciu privilégií a vzdialené vykonanie kódu. Zraniteľnosti vo Windows Storage (CVE-2025-21391) a Windows Ancillary Function Driver for WinSock (CVE-2025-21418) sú v súčasnosti aktívne zneužívané útočníkmi.

Zraniteľné systémy:

Azure Network Watcher VM Extension
CBL Mariner 2.0 ARM
CBL Mariner 2.0 x64
Dynamics 365 Sales
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft AutoUpdate for Mac
Microsoft Edge (Chromium-based)
Microsoft Edge for Android
Microsoft Edge for iOS
Microsoft Excel 2016 (32-bit edition)
Microsoft Excel 2016 (64-bit edition)
Microsoft HPC Pack 2016
Microsoft HPC Pack 2019
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft Office LTSC for Mac 2024
Microsoft Outlook for Android
Microsoft PC Manager
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
Microsoft Surface Go 2
Microsoft Surface Go 3
Microsoft Surface Hub
Microsoft Surface Hub 2S
Microsoft Surface Hub 3
Microsoft Surface Laptop Go
Microsoft Surface Laptop Go 2
Microsoft Surface Laptop Go 3
Microsoft Surface Pro 7+
Microsoft Surface Pro 8
Microsoft Surface Pro 9 ARM
Microsoft Visual Studio 2017 version 15.9 (includes 15.0 – 15.8)
Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
Microsoft Visual Studio 2022 version 17.10
Microsoft Visual Studio 2022 version 17.12
Microsoft Visual Studio 2022 version 17.8
Office Online Server
Surface Laptop 3 with Intel Processor
Surface Laptop 4 with AMD Processor
Surface Laptop 4 with Intel Processor
Surface Windows Dev Kit
Visual Studio Code
Visual Studio Code – JS Debug Extension
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)

Opis činnosti:

Kritické zraniteľnosti:

CVE-2025-21177 (CVSS skóre 8,7)

Bližšie nešpecifikovanú zraniteľnosť v Microsoft Dynamics 365 Sales by vzdialený autentifikovaný útočník prostredníctvom SSRF (Server Side Request Forgery) útokov mohol zneužiť na eskaláciu privilégií. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa. Zraniteľnosť bola automaticky opravená spoločnosťou Microsoft a nevyžaduje dodatočnú aktualizáciu systémov.

CVE-2025-21376 (CVSS skóre 8,1)

Komponent Windows Lightweight Directory Access Protocol (LDAP) obsahuje kritickú zraniteľnosť, ktorú by vzdialený neautentifikovaný útočník prostredníctvom špeciálne vytvorených LDAP volaní mohol zneužiť na vzdialené vykonanie kódu. Úspešné zneužitie zraniteľností vyžaduje, aby útočník vyhral súbeh procesov.

CVE-2025-21379 (CVSS skóre 7,1)

Použitie odalokovaného miesta v pamäti v rámci komponentu DHCP Client by útočník nachádzajúci sa v rovnakom sieťovom segmente mohol prostredníctvom tzv. machine-in-the-middle útoku zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa.

CVE-2025-21381 (CVSS skóre 7,8)

Kritická zraniteľnosť v Microsoft Excel spočíva v dereferencii nedôveryhodných ukazovateľov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorený súbor.

Aktívne zneužívané zraniteľnosti:

CVE-2025-21391 (CVSS skóre 7,1)

Nesprávny preklad odkazov pred prístupom k súborom v rámci komponentu Windows Storage by lokály autentifikovaný útočník mohol zneužiť na eskaláciu privilégií umožňujúcu zmazanie súborov na súborovom systéme. Zmazanie súborov kritických pre beh systému môže viesť k zneprístupneniu služby.

CVE-2025-21418 (CVSS skóre 7,8)

Pretečenie medzipamäte haldy v rámci Windows Ancillary Function Driver možno lokálne zneužiť na eskaláciu privilégií na úroveň SYSTEM. Zneužitie zraniteľnosti vyžaduje autentifikáciu.

Uvedené zraniteľnosti sú v súčasnosti aktívne zneužívané útočníkmi.

Ostatné významné zraniteľnosti:

CVE-2025-21377 (CVSS skóre 7,8)

Zraniteľnosť v operačnom systéme Windows spočívajúcu v externej kontrole názvu alebo cesty súboru by vzdialený neautentifikovaný útočník podvrhnutím špeciálne vytvorených súborov mohol zneužiť na získanie autentifikačných NTLMv2 hashov. Zneužitie zraniteľnosti vyžaduje interakciu zo strany používateľa, ktorý musí na súbor kliknúť alebo vykonať inú operáciu, ako jeho otvorenie alebo spustenie.

26 vysoko závažných zraniteľností v CBL Mariner a Microsoft Visual Studio 2019 (CVE-2023-32002), Windows Telephony Service (CVE-2025-21190, CVE-2025-21200, CVE-2025-21201, CVE-2025-21371, CVE-2025-21406, CVE-2025-21407), Microsoft High Performance Compute (HPC) Pack (CVE-2025-21198), Windows Routing and Remote Access Service (RRAS) (CVE-2025-21208, CVE-2025-21410), Microsoft Edge (CVE-2025-21279, CVE-2025-21283, CVE-2025-21342, CVE-2025-21408), Microsoft Digest Authentication (CVE-2025-21368, CVE-2025-21369), Microsoft Excel (CVE-2025-21386, CVE-2025-21387, CVE-2025-21390, CVE-2025-21394), Microsoft Office (CVE-2025-21392, CVE-2025-21397) a Microsoft SharePoint Server (CVE-2025-21400) možno zneužiť na vzdialené vykonanie kódu.

Možné škody:

Vzdialené vykonanie kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Obídenie bezpečnostného prvku
Spoofing

Odporúčania:

Bezodkladné nasadenie februárového balíka opráv na zraniteľné produkty spoločnosti Microsoft. Bližšie informácie nájdete tu.

Zdroje: