Microsoft julkaisi eilen Windowsin tietoturvapäivitykset ja paljasti tänään, että päivitykset sisältävät korjaustiedot 0-päivän numerosta, jota hyödynnetään luonnossa.
Haavoittuvuus - Windowsin yleinen lokitiedostojärjestelmän ohjaimen etuoikeushaavoittuvuus - seurataanCVE-2025-29824.
Tärkeää tietoa:
- Aihe vaikuttaa useimpiin Windows -palvelin- ja asiakasversioihin, mukaan lukien Windows 10, Windows 11 ja Windows Server 2025.
- Microsoft toteaa, että hyväksikäyttö ei toimi Windows 11, versiossa 24H2.
- Se on käyttövapaa tietoturvaongelma, jota voidaan hyödyntää paikallisiin korkeushyökkäyksiin.
- Hyökkäys ei vaadi käyttäjän vuorovaikutusta.
- Hyökkääjä voi saada järjestelmäoikeudet onnistuneen hyväksikäytön yhteydessä.
Microsoft toteaa, että se on tietoinen rajoitetuista hyökkäyksistä. IT mainitsee tavoitteet IT- ja kiinteistöalalla Yhdysvalloissa, espanjalaisen ohjelmistoyrityksen Venezuelan finanssisektorilla ja Saudi -Arabian vähittäiskaupassa erityisesti sen erityisilmoituksessatietoturvaverkkosivusto.
Päivityksen asentaminen suojaa järjestelmiä hyväksikäytöltä. Microsoftin ohjeet sisältävät pahaenteisen huomautuksen, joka paljastaa, että yritys viivästyy Windows 10 -järjestelmien korjausta. Se ei anna selitystä viivästykselle. Vaikuttavat käyttäjiä ja järjestelmänvalvojia pyydetään seuraamaan virallista CVE: täMicrosoft's MSRCVerkkosivusto päivitykset, jotka koskevat korjaustiedoston käyttöönottoa Windows 10 -järjestelmiin.
Kotikäyttäjät voivat käyttää Windows Update -sovellusta asentaaksesi korjaustiedoston heti Windows 11: een. Tämä tapahtuu Asetukset> Windows Update -sivustolla. Huomaa, että järjestelmän uudelleenkäynnistys on välttämätöntä tietoturvapäivityksen asentamisen loppuun saattamiseksi.
Teknisellä puolella haavoittuvuus löytyy Microsoftin mukaan Yleisen lokitiedostojärjestelmän (CLFS) ytimen ohjaimesta. Yhtiö sanoo, että se ei ole määrittänyt alkuperäistä hyökkäysvektoria, mutta löysi "Storm-2460: lla joitain merkittäviä käytöksiä".
Hyvä tiedossa: Storm 2460, joka tunnetaan paremmin nimellä Ransomexx, on pahamaineinen lunastusryhmä.
Microsoft havaitsi seuraavan käyttäytymisen useissa tapauksissa:
- Uhka-näyttelijä käyttää Certutil-työkalua ladatakseen haitallisen tiedoston lailliselta, mutta vaarannetun kolmannen osapuolen verkkosivustolta.
- Ladattu tiedosto oli haitallinen MSBuild -tiedosto.
- Kyseinen haittaohjelma menee nimellä Pipemagic, joka on ollut tiedossa vuodesta 2023.
- Haittaohjelmien käyttöönoton jälkeen se hyödyntää tässä oppaassa kuvattua haavoittuvuutta prosessien injektiota varten järjestelmäprosesseihin.
Yksi käyttäjäjärjestelmän haittaohjelmien toiminnoista on LSASS -muistin kaato ja jäsentäminen käyttäjän käyttöoikeustietojen saamiseksi. Ransomware -aktiivisuus seurasi kohdejärjestelmissä, erityisesti tiedostojen salaus ja satunnaisten laajennusten lisääminen.
Selkänsanat
Microsoft suosittelee Windows Security Patches -sovelluksen asentamista välittömästi järjestelmien suojaamiseksi hyödyntäviltä yrityksiltä. Windows 10: n viivästyminen on valitettavaa, koska se tarkoittaa, että järjestelmät pysyvät alttiina hyökkäyksille, kunnes Microsoft vapauttaa järjestelmän korjaustiedoston.
Nyt sinä: Milloin asennat päivityksiä järjestelmiin? Asensitko jo huhtikuun 2025 tietoturvapäivitykset?
Lisätietoja:Kuinka suojata Maciasi haittaohjelmilta, viruksilta ja ransomwareilta