Microsoft v rámci Patch Tuesday opravil dve aktívne zneužívané zraniteľnosti

Spoločnosť Microsoft vydala v septembri 2025 balík opráv pre portfólio svojich produktov opravujúci 81 zraniteľností, z ktorých 8 spoločnosť označila ako kritické. Tieto umožňujú vzdialene vykonávať kód, eskalovať oprávnenia a získať citlivé informácie. Dve zraniteľnosti sú typu zero-day.

Zraniteľné systémy:

• Azure Connected Machine Agent
• Microsoft 365 Apps for Enterprise for 32-bit Systems
• Microsoft 365 Apps for Enterprise for 64-bit Systems
• Microsoft AutoUpdate for Mac
• Microsoft Excel 2016 (32-bit edition)
• Microsoft Excel 2016 (64-bit edition)
• Microsoft HPC Pack 2019
• Microsoft Office 2016 (32-bit edition)
• Microsoft Office 2016 (64-bit edition)
• Microsoft Office 2019 for 32-bit editions
• Microsoft Office 2019 for 64-bit editions
• Microsoft Office for Android
• Microsoft Office LTSC 2021 for 32-bit editions
• Microsoft Office LTSC 2021 for 64-bit editions
• Microsoft Office LTSC 2024 for 32-bit editions
• Microsoft Office LTSC 2024 for 64-bit editions
• Microsoft Office LTSC for Mac 2021
• Microsoft Office LTSC for Mac 2024
• Microsoft OfficePLUS
• Microsoft PowerPoint 2016 (32-bit edition)
• Microsoft PowerPoint 2016 (64-bit edition)
• Microsoft SharePoint Enterprise Server 2016
• Microsoft SharePoint Server 2019
• Microsoft SharePoint Server Subscription Edition
• Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)
• Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack
• Microsoft SQL Server 2017 for x64-based Systems (CU 31)
• Microsoft SQL Server 2017 for x64-based Systems (GDR)
• Microsoft SQL Server 2019 for x64-based Systems (CU 32)
• Microsoft SQL Server 2019 for x64-based Systems (GDR)
• Microsoft SQL Server 2022 for x64-based Systems (CU 20)
• Microsoft SQL Server 2022 for x64-based Systems (GDR)
• Microsoft Word 2016 (32-bit edition)
• Microsoft Word 2016 (64-bit edition)
• Office Online Server
• Windows 10 for 32-bit Systems
• Windows 10 for x64-based Systems
• Windows 10 Version 1607 for 32-bit Systems
• Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1809 for 32-bit Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 21H2 for 32-bit Systems
• Windows 10 Version 21H2 for ARM64-based Systems
• Windows 10 Version 21H2 for x64-based Systems
• Windows 10 Version 22H2 for 32-bit Systems
• Windows 10 Version 22H2 for ARM64-based Systems
• Windows 10 Version 22H2 for x64-based Systems
• Windows 11 Version 22H2 for ARM64-based Systems
• Windows 11 Version 22H2 for x64-based Systems
• Windows 11 Version 23H2 for ARM64-based Systems
• Windows 11 Version 23H2 for x64-based Systems
• Windows 11 Version 24H2 for ARM64-based Systems
• Windows 11 Version 24H2 for x64-based Systems
• Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server 2022
• Windows Server 2022 (Server Core installation)
• Windows Server 2022, 23H2 Edition (Server Core installation)
• Windows Server 2025
• Windows Server 2025 (Server Core installation)
• Xbox Gaming Services

Opis činnosti:

Spoločnosť Microsoft opravila v rámci svojho pravidelného balíka Patch Tuesday 81 zraniteľností vo svojich produktoch, z ktorých 8 označila ako kritické a 72 ako „dôležité“ (Important). Jedna nedostala označenie závažnosti. Kritické zraniteľnosti umožňujú vzdialene vykonávať kód, eskalovať oprávnenia a získať citlivé informácie. Dve zraniteľnosti sú aktívne zneužívané.

CVE-2025-55234 (CVSSv3.1 skóre 8,8)

Vývojári spoločnosti Microsoft opravili aktívne zneužívanú zraniteľnosť v komponente SMB Server, ktorá umožňuje útočníkom eskalovať svoje oprávnenia. Pri istých konfiguračných nastaveniach môžu na to útočníci využiť techniku tzv. relay attack, odchytiť autentifikačné infromácie a zneužiť ich pre neautorizovaný prístup do systému.

CVE-2024-21907 (CVSSv3.1 skóre 7,5)

Druhá opravená zneužívaná zraniteľnosť sa nachádza v knižnici tretej strany Newtonsoft.Json verzií starších ako 13.0.1, ktorá je súčasťou Microsoft SQL Server. Súvisí s nesprávnym spracovaním výnimiek metódou JsonConvert.DeserializeObject. Neautentifikovaný vzdialený útočník môže spôsobiť nedostupnosť služby odoslaním špeciálne upravených dát, ktoré vyvolajú výnimku typu StackOverflow.

Možné škody:

• Únik citlivých informácií
• Vzdialené vykonávanie kódu
• Eskalácia oprávnení
• Nedostupnosť služby (DoS)

Odporúčania:

Administrátorom a používateľom zraniteľných verzií odporúčame bezodkladne vykonať aktualizácie dostupné priamo zo systému alebo zo stránky výrobcu. Pre konkrétny prehľad si treba vo filtroch zvoliť mesiac september a Mode „Update Tuesday“. Bližšie informácie nájdete aj tu.

Pre mitigáciu zraniteľnosti CVE-2025-55234 Microsoft odporúča zapnúť SMB Server Signing a SMB Server Extended Protection for Authentication (EPA). To však môže spôsobovať problémy s kompatibilitou voči starším zariadeniam.

Odkazy:

• https://msrc.microsoft.com/update-guide/
• https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-55234
• https://nvd.nist.gov/vuln/detail/CVE-2024-21907
• https://thehackernews.com/2025/09/microsoft-fixes-80-flaws-including-smb.html
• https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2025-patch-tuesday-fixes-81-flaws-two-zero-days/