Zero-day zraniteľnosť v produktoch Microsoft dostala bezpečnostnú záplatu v augustovom Patch Tuesday

CVE-2025-53779 je chyba relatívnej cesty vo Windows Kerberos, ktorá umožňuje autorizovanému útočníkovi zvýšiť oprávnenia cez sieť ako súčasť útoku nazvaného BadSuccessor. V augustovom Patch Tuesday bolo opravených aj 13 kritických zraniteľností.

Zraniteľné systémy:

  • Azure File Sync
  • Azure OpenAI
  • Azure Portal
  • Azure Stack
  • Azure Virtual Machines
  • Desktop Windows Manager
  • GitHub Copilot and Visual Studio
  • Graphics Kernel
  • Kernel Streaming WOW Thunk Service Driver
  • Kernel Transaction Manager
  • Microsoft 365 Copilot’s Business Chat
  • Microsoft Brokering File System
  • Microsoft Dynamics 365 (on-premises)
  • Microsoft Edge for Android
  • Microsoft Exchange Server
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office PowerPoint
  • Microsoft Office SharePoint
  • Microsoft Office Visio
  • Microsoft Office Word
  • Microsoft Teams
  • Remote Access Point-to-Point Protocol (PPP) EAP-TLS
  • Remote Desktop Server
  • Role: Windows Hyper-V
  • SQL Server
  • Storage Port Driver
  • Web Deploy
  • Windows Ancillary Function Driver for WinSock
  • Windows Cloud Files Mini Filter Driver
  • Windows Connected Devices Platform Service
  • Windows DirectX
  • Windows Distributed Transaction Coordinator
  • Windows File Explorer
  • Windows GDI+
  • Windows Installer
  • Windows Kerberos
  • Windows Kernel
  • Windows Local Security Authority Subsystem Service (LSASS)
  • Windows Media
  • Windows Message Queuing
  • Windows NT OS Kernel
  • Windows NTFS
  • Windows NTLM
  • Windows PrintWorkflowUserSvc
  • Windows Push Notifications
  • Windows Remote Desktop Services
  • Windows Routing and Remote Access Service (RRAS)
  • Windows Security App
  • Windows SMB
  • Windows StateRepository API
  • Windows Subsystem for Linux
  • Windows Win32K – GRFX
  • Windows Win32K – ICOMP

Opis činnosti:

CVE-2025-50165 (CVSS 3.1 skóre 9,8)

Zraniteľnosť operačných systémov Windows súvisí s dereferenciou nedôveryhodného ukazovateľa v komponente Graphics, ktorý môže byť spustený špeciálne vytvoreným grafickým obsahom doručeným cez sieť. Na to môže poslúžiť škodlivý súbor JPEG, ktorý môže byť doručený napríklad v dokumente Office. Útočník môže použiť neinicializovaný ukazovateľ funkcie, ktorý sa volá pri dekódovaní obrázka formátu JPEG. Keď zraniteľný systém spracuje tento obsah – buď automaticky (napr. generovanie náhľadov, obsluha náhľadov) alebo cez interakciu používateľa, zraniteľnosť umožní vykonanie ľubovoľného kódu.

CVE-2025-53766 (CVSS 3.1 skóre 9,8)

Zraniteľnosť vo Windows GDI+ umožňuje neoprávnenému útočníkovi vzdialene vykonať kód po pretečení haldy. Zraniteľnosť sa dá zneužiť otvorením dokumentu obsahujúceho špeciálne vytvorený metafile. Microsoft vylúčil Preview Pane ak vektor útoku. Kritickou ju robí aj fakt, že každé zariadenie prevádzkujúce vlastnú ASP.NET aplikáciu ponúkajúcu nahrávanie súborov bez bezpečnostnej aktualizácie by mohlo byť zraniteľným.

CVE-2025-53779 (CVSS 3.1 skóre 7,2) zero-day

Zraniteľnosť v Kerberos spočíva v možnosti získania prístupu k niektorým atribútom delegovaných spravovaných servisných účtov (dMSA) v Active Directory. To umožní útočníkovi zvýšenie oprávnení na správcu domény. Forma útoku dostala názov BadSuccessor.

Pozn.: Zvyšné zraniteľnosti, ktoré výrobca uvádza ako kritické, nie sú rovnako hodnotené podľa CVSS hodnotenia. Spolu Microsoft v aktuálnom balíku Patch Tuesday opravil 107 zraniteľností.

Možné škody:

  • Vzdialené vykonanie kódu
  • Eskalácia privilégií
  • Neoprávnený prístup k informáciám

Odporúčania:

Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizácie dostupné priamo zo systému alebo zo stránky výrobcu. Pre konkrétny prehľad si treba vo filtroch zvoliť mesiac august a Mode „Update Tuesday“.

Zdroje: